オープンソースAIプラットフォーム「Flowise」に重大な脆弱性が発見され、概念実証(PoC)コードも公開されました。ログイン中のユーザーが悪意のあるワークフローファイルをインポートするだけで、攻撃者がサーバーを乗っ取れる可能性があります。
Obsidian Securityが公開した新たな分析レポートによると、CVE-2026-40933として追跡されているこの脆弱性は、GitHubで52,000以上のスターを獲得している大規模言語モデル(LLM)ワークフローおよびAIエージェント構築プラットフォームとして広く利用されているFlowiseに影響します。セルフホスト型の環境はデフォルトで脆弱であり、マネージドサービスの「Flowise Cloud」は影響を受けません。
今回の発見は、同社が以前に行った別のオープンソースAIプラットフォーム「Langflow」における類似のリモートコード実行(RCE)脆弱性の調査を踏まえたものです。Obsidian Securityは今回の開示に合わせてPoCエクスプロイトを公開するとともに、公式の修正パッチは回避可能であり、最新リリースにも依然として脆弱性が残ることを警告しています。
カスタムMCPツールがサーバーコマンドを実行
この脆弱性の根本は、Flowiseの「Custom MCP」ツールにあります。このツールは、Model Context Protocol(MCP)を通じて外部サービスを連携させるための機能です。
stdioトランスポートに設定した場合、このツールはユーザーが指定したコマンドをFlowiseサーバー上の子プロセスとして起動しますが、そこにサンドボックスは存在しません。
Flowiseはユーザーがこれらのワークフロー(「チャットフロー」と呼ばれる)をエクスポートして共有できる仕様になっているため、攻撃者はその中に悪意のあるコマンドを仕込むことができます。
Obsidian Securityの調査によれば、そのようなチャットフローをインポートするだけでコマンドが実行されてしまいます。ワークフローがキャンバスに読み込まれる際、エディターが自動的に設定済みのサーバーへ問い合わせを行うためです。コードが実行される前に保存・実行・承認などの操作は一切必要ありません。
回避可能なパッチ
Flowiseは今回の開示に対し、許可されたコマンドをホワイトリスト化し、危険な引数をブロックする入力検証レイヤーを導入することで対応しました。
しかしObsidian Securityは、この対処法は根本原因ではなく症状に対処しているにすぎないと指摘しています。そもそもこの機能はコードを実行する目的で設計されており、許可された入力の範囲内でも悪意のある動作を表現できてしまうためです。
AIエージェントプラットフォームにおけるRCE脆弱性についてさらに詳しく:Hackers Exploit Critical Langflow Bug in Just 20 Hours
結果として、オープンソース版・エンタープライズ版を問わず、セルフホスト環境では現行バージョンでもデフォルトで脆弱性が残存しています。Obsidian Securityは、stdioトランスポートは明示的に必要な場合を除いて無効化すべきであり、回避される可能性のある検証チェックを頼りに稼働させ続けるべきではないと主張しています。
最も効果的な保護策は、FlowiseのCustom MCPプロトコルをServer-Sent Events(SSE)に切り替えてstdioトランスポートを無効化することです。これにより、コードの実行経路そのものが完全に排除されます。
この機能を業務で利用しているチームに対しては、インポートするMCP設定をコードと同等に扱い、信頼できるソースのみに限定するとともに、出所不明の共有チャットフローの読み込みを避けるよう強く推奨されています。
翻訳元: https://www.infosecurity-magazine.com/news/flowise-mcp-rce-poc/
