「Langflow」に未修正脆弱性、緩和策を - 報告者「修正が後回し」
脆弱性について開示を受けた開発チームは、修正作業を進めており、今後リリースされる「同1.7」において、「CORS」では明示的に指定されたオリジンからの認証リクエストのみを許可するよう変更。
「Cookie」の取り扱いについても見直すなどデフォルト環境における対策を盛り込む予定。またサンドボックスの導入なども開発が進められているという。
現状提供している「同1.6.0」ブランチにおいては、「CORS」の構成をカスタマイズできる環境変数が導入されているとし、緩和策の実施が呼びかけられている。
今回の脆弱性は、Obsidian Securityの研究者が発見し、2025年7月29日に報告した。9月11日に「同1.7」における仕様変更が告知され、同月25日に「同1.6.0」がリリースされたが、デフォルト環境には脆弱性が残ったままだったと説明。その後、緩和策がオプションとして導入されたことから今回公表したとしている。
開発期間が短く、リリース速度が早いソフトウェアのため、利用者の獲得や可用性が重視され、脆弱性については報告から修正までに長期間を要するなどセキュリティ対策が後回しになっていると問題を指摘している。
(Security NEXT - 2025/12/08 )
ツイート
PR
関連記事
深刻な「React」脆弱性、米当局が悪用に注意呼びかけ
解析ライブラリ「Apache Tika」に深刻なXXE脆弱性 - コア部分も更新を
「React」脆弱性、実証コード公開 - 悪用リスクが上昇
「GitLab」に複数の脆弱性 - アップデートで修正
「Chrome 143」を公開 - 重要度「高」4件含む脆弱性13件に対応
「Next.js」にセキュリティアップデート - 「React」脆弱性が影響
「Apache HTTPD」にアップデート - 脆弱性5件を解消
JSライブラリ「React」に深刻なRCE脆弱性 - 早急に対応を
ウェブアプリフレームワーク「Django」に複数脆弱性 - アップデートが公開
米セキュリティ機関、「ScadaBR」既知脆弱性の悪用に警告
