ハッカーはCVE-2025-59528として追跡されている最大重大度の脆弱性をFlowiseオープンソースプラットフォームで悪用しており、カスタムLLMアプリおよびエージェントシステムを構築するための任意のコード実行が可能です。
この欠陥はセキュリティチェックなしでJavaScriptコードを挿入することを許可し、昨年9月に公開開示されました。成功した悪用がコマンド実行とファイルシステムアクセスにつながることの警告がありました。
問題はFlowise CustomMCPノードが外部モデルコンテキストプロトコル(MCP)サーバーに接続するための構成設定を許可し、ユーザーからのmcpServerConfig入力を安全でない方法で評価することにあります。このプロセス中に、最初に安全性を検証することなくJavaScriptを実行できます。
開発者はFlowiseバージョン3.0.6でこの問題に対処しました。最新の現在のバージョンは3.1.1で、2週間前にリリースされました。
FlowiseはAIエージェントとLLMベースのワークフローを構築するためのオープンソース、ローコードプラットフォームです。ユーザーがコンポーネントをチャットボット、自動化、およびAIシステムを駆動するパイプラインに接続できるドラッグアンドドロップインターフェイスを提供します。
AIプロトタイピングに従事する開発者、ノーコードツールセットで作業する非技術的なユーザー、カスタマーサポートチャットボットと知識ベースアシスタントを運用する企業を含む、幅広いユーザーによって使用されています。
脆弱性インテリジェンス企業VulnCheckのセキュリティ研究者であるCaitlin Condonは、LinkedInでCVE-2025-59528の悪用がCanaryネットワークによって検出されたことを発表しました。
「本日の朝早く、VulnCheckのCanaryネットワークはCVE-2025-59528の初めての悪用検出を開始しました。これはFlowiseのCSVS-10任意JavaScriptコード注入脆弱性で、オープンソースAI開発プラットフォームです」とCondonは警告しました。
現在、活動は限定的に見える一方で、単一のStarlink IPから発信されており、研究者は現在12,000から15,000のFlowiseインスタンスがオンラインで公開されていることを警告しました。
しかし、それらのうちどのパーセンテージが脆弱なFlowiseサーバーであるかは不明です。
CondonはCVE-2025-59528に関連した観察された活動がCVE-2025-8943およびCVE-2025-26319に加えて発生することを指摘しており、これらもFlowiseに影響を与え、野外での積極的な悪用が観察されています。
現在、VulnCheckはエクスプロイトサンプル、ネットワークシグネチャ、およびYARAルールをその顧客のみに提供しています。
Flowiseのユーザーはバージョン3.1.1またはバージョン3.0.6にできるだけ早くアップグレードすることをお勧めします。外部アクセスが不要な場合は、インスタンスをパブリックインターネットから削除することも検討する必要があります。
