広く使用されているオープンソースAI開発プラットフォームFlowiseの重大なセキュリティ脆弱性が、脅威アクターによって積極的に悪用されており、数千のシステムが危険にさらされています。
CVE-2025-59528として追跡されているこの欠陥は、最大CVSS スコア10.0を持ち、その深刻な影響と悪用の容易性を示しています。
この脆弱性により、リモート攻撃者は任意のコードを実行し、影響を受けるサーバーを完全に制御する可能性があります。
この問題は、Flowiseが CustomMCP(モデルコンテキストプロトコル)コンポーネント内で外部サーバー構成をどのように処理するかに起因しています。
ユーザーが外部サービスと接続するための構成データを入力する場合、アプリケーションはこの入力を不適切にJavaScriptコードとして評価します。
データの検証またはサニタイズの代わりに、システムはそれを直接Node.jsの Function()コンストラクタに渡します。
このコード実行は完全なランタイム権限で発生するため、攻撃者は機密システムコンポーネントと相互作用する悪質なペイロードを注入できます。
これにはファイルシステムへのアクセスと子プロセスを生成する機能が含まれ、事実上、攻撃者にホスト環境に対する深い制御を与えます。
悪用は簡単で、最小限の努力が必要です。攻撃者は悪質な構成データを含む特別に細工されたリクエストを、脆弱なAPIエンドポイントに送信できます。
処理されると、ペイロードはユーザーの操作なしにバックグラウンドで実行されます。概念実証のデモンストレーションで、研究者は単一のリクエストが任意のシェルコマンドをトリガーし、システムに不正なファイルを作成できることを示しました。
サイバーセキュリティ企業VulnCheckはすでにこの脆弱性の実世界での悪用を観察しています。
その初期警告ネットワークによると、初期攻撃活動はStarlink IPアドレスから発信されており、欠陥の日和見的スキャンと急速な兵器化を示唆しています。
成功した場合、この脆弱性はシステム全体の侵害につながる可能性があります。攻撃者は不正な読み取りおよび書き込みアクセスを取得し、システムレベルのコマンドをサイレントに実行し、機密の業務またはカスタマーデータを流出させることができます。
これらの機能は、本番環境でFlowiseに依存している組織にとって、この欠陥を特に危険にします。
これは孤立したケースではありません。Flowiseは最近数か月間に複数のセキュリティ問題に直面しており、CVE-2025-8943とCVE-2025-26319の両方も積極的に悪用されました。
この脆弱性はFlowise バージョン3.0.5以前に影響します。開発者は、この問題に対処するためにパッチ適用されたバージョン3.0.6をリリースしています。セキュリティチームは直ちにアップグレードすることを強くお勧めします。
積極的な悪用と暴露されたインスタンスの多数性を考慮すると、パッチが適用されていないシステムが侵害される可能性が非常に高くなっています。
Flowiseを使用している組織は、パッチ適用を優先し、可能な場合は外部アクセスを制限し、不正なアクティビティの兆候についてシステムを監視する必要があります。
翻訳元: https://cyberpress.org/flowise-ai-vulnerabil/