## Langflow 권한 상승 취약점(CVE-2024-7297) 주의: 원격 공격자가 높은 권한 탈취 가능
AI 애플리케이션 구축 플랫폼인 Langflow의 1.0.13 이전 버전에서 심각한 권한 상승 취약점(CVE-2024-7297)이 발견됐다. CVSS 8.8의 높은 위험 등급을 부여받은 이 취약점은 네트워크를 통해 접근 가능한 낮은 권한의 공격자가 시스템의 높은 권한(기밀성, 무결성, 가용성 모두 '높음' 등급)을 탈취할 수 있도록 한다. 공격 복잡도는 낮고 사용자 상호작용이 필요하지 않아 비교적 쉬운 악용이 가능한 점이 위험성을 가중시킨다.

이 취약점은 CWE-913에 분류되며, 정확한 기술적 원인은 '자동 분석 실패'로 보고되어 상세 내용은 공개되지 않았다. 현재로서는 공식적인 AI 기반 예상 공격 시나리오나 구체적인 비즈니스 영향 평가는 제공되지 않고 있다. 그러나 CVSS 점수와 벡터(공격 경로: 네트워크, 필요 권한: 낮음)를 고려할 때, 노출된 Langflow 인스턴스는 즉각적인 원격 공격에 취약할 수 있다.

해당 취약점은 아직 CISA의 알려진 악용 취약점(KEV) 목록에는 포함되지 않았으며, 예측된 익스플로잇 가능성(EPSS) 점수는 0.26%로 상대적으로 낮게 평가된다. 그러나 높은 CVSS 점수와 쉬운 악용 조건을 감안할 때, Langflow 1.0.13 미만 버전을 사용하는 모든 조직은 제조사의 보안 권고문을 확인하고 가능한 한 빠르게 최신 버전으로 패치를 적용해야 한다. 또한, 취약한 구간에 대한 네트워크 접근을 제한하는 것이 권고된다. 현재 Sigma Rule 등의 탐지 룰은 존재하지 않는 상태다.
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: CVE-2024-7297, 권한상승, AI보안, Langflow, 취약점
- **Credibility**: unverified
- **Published**: 2026-03-27 16:27:27
- **ID**: 38012
- **URL**: https://whisperx.ai/en/intel/38012