7,000 เซิร์ฟเวอร์ Langflow ถูกโจมตี เปิดเผยช่องโหว่คลาสสิกใน LangGraph และ LangChain

การโจมตีที่มุ่งเป้าไปยังเซิร์ฟเวอร์ของ Langflow จำนวนกว่า 7,000 เครื่องเผยให้เห็นช่องโหว่ที่คล้ายกันในสามเฟรมเวิร์ก AI‑agent ที่ใช้กันอย่างแพร่หลาย ได้แก่ LangGraph, Langflow, และ LangChain‑core ซึ่งทั้งหมดนี้เป็นช่องโหว่แบบคลาสสิกของแอปพลิเคชัน (SQL injection, path traversal, unsafe deserialization) แต่กลับถูกนำไปใช้ในสภาพแวดล้อมการผลิตโดยไม่ได้รับการป้องกันที่เพียงพอ

Overview

เฟรมเวิร์ก AI‑agent อย่าง LangGraph, Langflow และ LangChain‑core ได้รับความนิยมสูงจากองค์กรที่ต้องการให้ระบบอัจฉริยะจำสถานะการทำงานและจัดการข้อมูลลับ เช่น คีย์ API ของ OpenAI, รหัสผ่านฐานข้อมูล, และโทเคนของระบบ CRM การใช้เฟรมเวิร์กเหล่านี้โดยตรงเป็น “boundary” ที่มักถูกมองข้ามในการออกแบบระบบรักษาความปลอดภัย ทำให้ช่องโหว่พื้นฐานสามประเภทสามารถกลายเป็นทางเข้าที่ให้ผู้โจมตีควบคุมเชลล์บนเซิร์ฟเวอร์ได้

การศึกษาโดย Check Point Research, Tenable, VulnCheck และ Cyera พบว่าช่องโหว่เหล่านี้ถูกเปิดเผยต่อสาธารณะตั้งแต่ปี 2025‑2026 และมีการโจมตีจริงในช่วงต้นเดือนมิถุนายน 2026 ทำให้ต้องเร่งแก้ไขในระดับอัปเดตซอฟต์แวร์โดยเร็ว

LangGraph Vulnerabilities

LangGraph เป็นเฟรมเวิร์กที่ให้ AI‑agent ความจำผ่าน “checkpointer” ซึ่งเก็บสถานะการทำงานบน SQLite หรือ Redis รายละเอียดของช่องโหว่ที่ตรวจพบมีดังนี้

• CVE‑2025‑67644 (CVSS 7.3) – SQL injection ในฟังก์ชันสร้างเงื่อนไข `WHERE` ของ SQLite checkpointer โดยไม่มีการ parameterize หรือ escape ค่าที่ผู้ใช้ส่งเข้าไป
• CVE‑2026‑28277 (CVSS 6.8) – การ decode ของ msgpack checkpoint ทำให้สามารถนำเข้าโมดูลและเรียกฟังก์ชันด้วยอาร์กิวเมนต์ที่โจมตีกำหนดได้ หากผู้โจมตีสามารถเขียนข้อมูลลงใน checkpoint store ผ่าน SQL injection ก่อนหน้า จะทำให้รันโค้ดบนเซิร์ฟเวอร์ได้
• CVE‑2026‑27022 (CVSS 6.5) – ปัญหาเดียวกันแต่เกิดขึ้นกับ Redis checkpointer

แม้ว่ายังไม่มีการยืนยันการโจมตีในโลกจริงสำหรับช่องโหว่เหล่านี้ แต่ Check Point Research ได้เผยแพร่ PoC พร้อมคำแนะนำการอัปเดตเวอร์ชัน: `langgraph-checkpoint-sqlite`  3.0.1, `langgraph`  1.0.10, `langgraph-checkpoint-redis`  1.0.2

Langflow Exploitation

Langflow เป็นเครื่องมือที่ให้ผู้ใช้สร้าง AI‑agent ผ่าน UI พร้อมฟีเจอร์อัปโหลดไฟล์โดยอัตโนมัติ การตั้งค่าเริ่มต้นมักเปิดใช้งาน “auto‑login” ทำให้ผู้โจมตีไม่ต้องผ่านขั้นตอนตรวจสอบสิทธิ์

• CVE‑2026‑5027 (CVSS 8.8) – ช่องโหว่ path traversal ที่ `/api/v2/files` รับชื่อไฟล์จากฟอร์มแล้วเขียนลงดิสก์โดยไม่มีการตรวจสอบ ซึ่งทำให้ผู้โจมตีสามารถเขียนไฟล์ใด ๆ เช่น ไฟล์ cron ใน `/etc/cron.d/` ได้
• การโจมตีนี้ได้รับการยืนยันโดย VulnCheck เมื่อ 9 มิถุนายน 2026 และโดย Censys พบเซิร์ฟเวอร์ที่เปิดเผยประมาณ 7,000 เครื่อง ส่วนใหญ่ตั้งอยู่ในอเมริกาเหนือ

ช่องโหว่นี้เป็นการโจมตีครั้งที่สามของ Langflow ในปี 2026 หลังจาก CVE‑2025‑34291 ที่ถูกกลุ่ม MuddyWater ใช้โจมตีและถูกรวมในฐานข้อมูล Known Exploited Vulnerabilities ของ CISA ในเดือนพฤษภาคม ช่องนี้ได้รับการแก้ไขในเวอร์ชัน 1.9.0 ที่เผยแพร่เมื่อ 15 เมษายน 2026

LangChain‑core Weaknesses

LangChain‑core ทำหน้าที่เป็นฐานรากสำหรับทั้ง LangGraph และ Langflow โดยให้ฟังก์ชันโหลด prompt จากไฟล์

• CVE‑2026‑34070 (CVSS 7.5) – การทำ path traversal ใน API `load_prompt()` ที่อ่านเส้นทางไฟล์จากพารามิเตอร์โดยไม่ตรวจสอบ ทำให้ผู้โจมตีสามารถอ่านไฟล์ลับเช่น `.env` ที่เก็บคีย์ API ต่าง ๆ
• CVE‑2025‑68664 (CVSS 9.3) – ช่องโหว่การ deserialize ที่ทำให้สามารถสร้างอ็อบเจกต์ที่อ้างอิงถึงตัวแปรสภาพแวดล้อม (เช่น คีย์ API) ได้โดยตรง

การแก้ไขต้องทำการอัปเดตทั้งสองเวอร์ชันพร้อมกัน: `langchain-core`  1.2.22 / 0.3.86 สำหรับ CVE‑2026‑34070 และ `langchain-core`  1.2.5 / 0.3.81 สำหรับ CVE‑2025‑68664 หากอัปเดตเพียงเวอร์ชันที่แก้ไขช่องโหว่ CVE‑2025‑68664 แล้วช่องโหว่ CVE‑2026‑34070 ยังคงเปิดอยู่

Analysis & Impact

ช่องโหว่เหล่านี้แสดงให้เห็นว่าปัญหาความปลอดภัยของ AI‑agent frameworks ไม่ได้อยู่ที่โมเดลหรืออัลกอริทึมขั้นสูง แต่กลับเป็น “plumbing” ด้านล่างที่ทำหน้าที่จัดการข้อมูลและไฟล์ การใช้ไลบรารีเหล่านี้เป็นส่วนหนึ่งของโครงสร้างพื้นฐานโดยไม่มีการแยกขอบเขต (segmentation) ทำให้ผู้โจมตีสามารถใช้ช่องโหว่คลาสสิกเพื่อเข้าถึงคีย์ลับและควบคุมเซิร์ฟเวอร์ได้

การเปิดเผยเวลาที่ แพตช์ ถูกปล่อย (15 เมษายน) กับช่วงเวลาที่การโจมตีเริ่มต้น (ต้นเดือนมิถุนายน) ทำให้เห็นว่าการอัปเดตที่ล่าช้าก่อนหน้าจะสร้าง “window of exposure” ที่กว้างขึ้น ทีมไอทีควรตั้งค่า patch clock ตั้งแต่การเปิดเผยช่องโหว่ ไม่ใช่รอให้รวมอยู่ในฐานข้อมูลของหน่วยงานรัฐบาล

นอกจากนี้ การตั้งค่าเริ่มต้นของ Langflow ที่เปิด auto‑login ทำให้เป็นเป้าหมายที่ง่ายสำหรับการโจมตีแบบ “unauthenticated RCE” จึงแนะนำให้ผู้ใช้งานเปลี่ยนเป็นการตั้งค่าแบบต้องยืนยันตัวตนก่อนใช้งาน

Recommendations

• ตรวจสอบและอัปเดตเฟรมเวิร์กทุกเวอร์ชันให้เป็นเวอร์ชันที่มีการแก้ไข CVE ตามที่ระบุไว้
• ปิดการใช้งาน auto‑login ของ Langflow และกำหนดการตรวจสอบสิทธิ์บน API ทั้งหมด
• ใช้การ parameterize คำสั่ง SQL และทำ sanitization ของข้อมูลที่รับจากผู้ใช้ในทุกจุดของแอปพลิเคชัน
• แยกแยะเครือข่ายของ AI‑agent จากระบบที่เก็บข้อมูลลับโดยใช้ firewall หรือ service mesh เพื่อจำกัดการเข้าถึงโดยตรง
• ตั้งกระบวนการ patch management ที่เริ่มต้นตั้งแต่วันเปิดเผยช่องโหว่และทำการสแกนระบบอย่างต่อเนื่องเพื่อค้นหาอุปกรณ์ที่ยังคงอยู่ในสถานะไม่อัปเดต

Summary

สามเฟรมเวิร์ก AI‑agent ที่ได้รับความนิยมอย่าง LangGraph, Langflow, และ LangChain‑core ปรากฏช่องโหว่แบบคลาสสิกที่ทำให้ผู้โจมตีสามารถเข้าถึงเชลล์และข้อมูลลับได้ การอัปเดตซอฟต์แวร์และการปรับการตั้งค่าความปลอดภัยพื้นฐานเป็นขั้นตอนสำคัญเพื่อปิดช่องโหว่เหล่านี้และลดความเสี่ยงต่อการโจมตีในอนาคต.