Obsidian Securityは、Flowiseのリモートコード実行(RCE)脆弱性を標的とした技術情報および概念実証(PoC)コードを公開しました。
この問題はCVE-2026-40933(CVSSスコア9.9)として追跡されており、AnthropicのMCPプロトコルに依存するAIエコシステムに影響する複数のセキュリティ欠陥とともに、4月に公開されました。
GitHubスターが52,000以上を誇る人気のオープンソースプラットフォームであるFlowiseは、開発者がドラッグ&ドロップのインターフェースでLLMフローやAIエージェントを構築できるツールですが、影響を受ける製品の一つとして指摘されました。
OX Securityによると、この問題の根本原因はAnthropicのMCPにおける「設計上の」システム的なコマンドインジェクション脆弱性であり、エコシステム全体に波及しているとのことです。
[詳細はこちら: SecurityWeek、8月11〜12日にリッツ・カールトン ハーフムーンベイでAIリスクサミットを開催]
NISTのアドバイザリでは、CVE-2026-40933はMCPアダプターにおけるstdioコマンドの安全でないシリアライズとして説明されています。攻撃者が任意のコマンドを持つMCP stdioサーバーを追加してコード実行を達成できる問題です。
この脆弱性は、バージョン3.1.0より前のFlowiseがすべてのユーザーに対して新しいMCPの追加を許可しており、その際に任意のコマンドの追加も可能であったために生じていました。これにより、基盤となるOS上でのコード実行が可能な状態になっていました。
Obsidianによると、攻撃者はこの脆弱性を悪用することで、細工を施したチャットフローをユーザーにインポートさせるだけでサーバーを乗っ取ることが可能です。インポート操作がサーバー上での任意のコード実行を引き起こします。
「チャットフローを作成または編集できるユーザーであれば、カスタムMCPツールを追加して悪意のあるstdio MCP設定を仕込むことができます。実際には、悪意のある内部関係者か、侵害されたユーザーアカウントが必要になります」とObsidianは指摘しています。
遠隔地にいる攻撃者は、カスタムMCPツールの設定に悪意のあるコマンドを組み込み、チャットフローをJSONとしてエクスポートして被害者に共有することができます。このペイロードはFlowiseの正規機能を悪用し、インポート処理中に悪意のあるコマンドを実行させます。
「FlowiseのカスタムMCPノードには「利用可能なアクション」ドロップダウンがあり、設定されたMCPサーバーが公開するツールが一覧表示されます。このドロップダウンにデータを入力するため、キャンバスはバックエンドにサーバーのツール一覧を要求します。stdioトランスポートでは、一覧取得時に設定されたコマンドが起動されます。インポートされたチャットフローがキャンバス上に描画されるとドロップダウンが読み込まれるため、インポート操作だけでコマンドが実行される可能性があります」とObsidianは説明しています。
同社は、インポートされるとホストのDockerブリッジアドレスへのシェルを作成するPoCコードを公開しています。
Obsidianによると、CVE-2026-40933の悪用に成功した場合、「Flowiseプロセスの権限、コンテナ化された環境では多くの場合rootとして、OSレベルでの実行が可能になります。プラットフォームに保存されたすべての認証情報が読み取り可能となり、接続されたすべてのサービスにアクセスできる状態になります。本番環境のFlowiseは通常、データベース、API、クラウドアカウントと連携しているため、被害の範囲はその接続先に応じて拡大します」とのことです。
同社は、Flowise Cloudはstdio MCPが無効化されているため影響を受けないと説明しています。一方、セルフホスト型インスタンスはデフォルトで脆弱な状態にあります。
翻訳元: https://www.securityweek.com/exploit-code-published-for-critical-flowise-rce-vulnerability/
