AI 개발 플랫폼 Langflow의 경로 탐색 취약점, 공격에 악용
공격자들은 고위험 경로 탐색 취약점인 CVE-2026-5027을 적극적으로 악용하고 있으며, 이를 통해 노출된 서버에 임의의 파일을 기록하고 있습니다.
Langflow는 전통적인 코딩 대신 드래그‑앤‑드롭 인터페이스를 사용해 AI 애플리케이션, AI 에이전트, Retrieval‑Augmented Generation(RAG) 시스템, 그리고 MCP 기반 워크플로우를 구축할 수 있는 오픈소스 시각화 플랫폼입니다.
AI 개발 팀에서 널리 사용되는 이 프로젝트는 GitHub에서 149,000개 이상의 스타와 9,200개의 포크를 기록했습니다(GitHub).
CVE-2026-5027은 Langflow의 파일 업로드 기능에 존재하는 고위험 경로 탐색 결함으로, 사용자가 제공한 파일 이름을 제대로 정제하지 못합니다.
“Tenable은 ‘POST /api/v2/files’ 엔드포인트가 멀티파트 폼 데이터의 ‘filename’ 파라미터를 정제하지 않아, 공격자가 경로 탐색 시퀀스(’../‘)를 이용해 파일 시스템의 임의 위치에 파일을 기록할 수 있다고 설명했습니다](https://www.tenable.com/security/research/tra-2026-26). 이 결함은 연초에 Tenable이 발견했습니다.
Tenable은 2026년 3월 27일에 이 문제를 공개했으며, 이는 Langflow 팀에 처음 보고한 지 두 달 넘게 응답을 받지 못한 뒤였습니다.
Tenable은 자문서에 해결책을 언급하지 않았지만, Snyk Security는 2026년 3월 30일에 langflow-base 패키지 버전 0.8.3에서 해당 문제가 수정되었으며, Langflow 애플리케이션 자체는 버전 1.9.0에서 패치를 받았다고 보고했습니다.
VulnCheck 보안 연구원인 Caitlin Condon에 따르면, 그들의 허니팟이 이제 취약점을 악용해 테스트 파일을 취약 인스턴스에 떨어뜨리는 공격자를 탐지하고 있습니다.
“Langflow는 기본적으로 인증되지 않은 자동 로그인을 허용하기 때문에, 취약 엔드포인트에 접근하기 위해 자격 증명이 필요 없으며, 단일 비인증 요청만으로도 유효한 세션 토큰을 획득한 뒤 악용을 진행할 수 있습니다”라운드 연구원의 LinkedIn 게시물에서 확인.
Condon은 Censys 스캔을 통해 약 7,000개의 공개된 Langflow 인스턴스를 식별했다고 덧붙였습니다. 다만 Censys 데이터는 지난 12개월간의 과거 스캔 결과를 포함하고 있어 현재 실제 노출된 시스템 수를 정확히 반영하지 않을 수 있습니다.
CVE-2026-5027 악용은 올해 초에 발생한 다른 Langflow 취약점(CVE-2026-0770, CVE-2026-21445, 그리고 CVE-2026-33017)에 대한 유사한 활동에 이어 진행되었습니다.
작년에는 미국 사이버보안 및 인프라 보안청(CISA)이 CVE-2025-3248의 활발한 악용을 경고했으며, Condon은 VulnCheck이 이 취약점에 대한 활동을 계속 관찰하고 있다고 밝혔습니다. 여기에는 이란 위협 그룹 MuddyWater와 연관된 활동도 포함됩니다.
Langflow 사용자들은 오늘 발표된 최신 릴리스인 버전 1.10.0(GitHub 릴리스 페이지)으로 업그레이드할 것을 권장합니다.
공격자가 먼저 공격하기 전에 모든 레이어를 테스트하세요
보안 팀은 성공적인 공격의 54%만을 기록하고, 그 중 14%만을 경보합니다. 나머지는 환경을 통해 눈에 띄지 않게 이동합니다.
Picus 백서에서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 테스트하여 위협이 탐지되지 않고 넘어가는 것을 방지하는 방법을 보여줍니다.