人気のあるオープンソースAI開発プラットフォームであるFlowiseの重大なセキュリティ欠陥が、現在野生で悪用されています。
CVE-2025-59528として追跡されているこのコード注入脆弱性は、最大CVSS スコア10.0を持っています。
これにより、リモート攻撃者は悪意のあるコードを実行し、影響を受けたサーバーを完全に制御することができます。
セキュリティ研究者は、最大15,000のFlowiseインスタンスがパブリックインターネットに公開されたままであると警告しており、プラットフォームを使用している組織にとって非常に危険な状況を引き起こしています。
コード注入がどのように発生するか
この脆弱性の根本原因は、Flowiseが外部サーバー構成をどのように処理するかにあります。具体的には、欠陥はプラットフォームのCustomMCP(Model Context Protocol)ノード内に存在します。
ユーザーが外部サーバーに接続するための構成設定を入力すると、アプリケーションはこのデータを特定の関数を通じて処理して、最終設定を構築します。
残念ながら、アプリケーションはセキュリティフィルターを適用せず、このユーザー提供のテキストをJavaScriptコードとして評価します。
システムは入力を受け取り、それをNode.jsのFunction()コンストラクターに直接渡します。
この実行は完全なランタイム権限で発生するため、攻撃者はファイルシステムと子プロセスなどの重要なシステムモジュールにアクセスする悪意のあるコマンドを簡単に記述できます。
攻撃の実行にはほとんど労力が必要ありません。攻撃者は脆弱なAPIエンドポイントに特別に細工されたネットワークリクエストを送信するだけです。
サーバーが悪意のある構成文字列を処理すると、ペイロードをバックグラウンドで実行し、攻撃者に完全なリモートコード実行を与えます。
概念実証のデモンストレーションでは、研究者は単一のウェブリクエストがサーバーに任意のシェルコマンドを実行させ、システム上に許可されていないファイルを作成する方法を示しました。
アクティブな脅威と実世界への影響
サイバーセキュリティ企業VulnCheckは、この正確な欠陥を対象とするライブ悪用の最初のインスタンスを最近検出しました。
彼らの早期警告ネットワークによると、最初の攻撃の波は単一のStarlink IPアドレスから発信されました。
この注入脆弱性が正常に悪用された場合、次のような壊滅的な結果につながります:
- 基盤となるホストシステムの完全な侵害
- ファイルシステムへの無許可の読み書きアクセス
- 危険なシステムレベルコマンドのサイレント実行
- 機密ビジネス及び顧客データの流出
これは脅威アクターがこのプラットフォームを標的にするのは初めてではありません。CVE-2025-8943やCVE-2025-26319などの他の深刻なFlowise脆弱性も、最近数ヶ月間にアクティブな悪用を目撃しています。
この脆弱性はFlowise バージョン3.0.5以前に影響します。開発チームは修正版をリリースして、正式に問題に対処しました。
セキュリティチームとネットワーク管理者は、インフラストラクチャを保護するために、Flowiseデプロイメントをバージョン3.0.6にすぐにアップグレードする必要があります。
現在行われているアクティブなスキャンと悪用を考えると、パッチなしでこれらのインスタンスを公開のままにしておくことは、事実上システム侵害を保証しています。
翻訳元: https://gbhackers.com/attackers-exploit-flowise-injection-vulnerability/
