Flowise の Custom MCP ノードの設計欠陥により、攻撃者は未検証の設定を通じて任意の JavaScript を実行できるようになりました。
脅威アクターは、カスタム LLM とエージェント システムを構築するための Flowise ローコードプラットフォームに任意の JavaScript を注入する方法を見つけました。
コード注入が可能だった理由は、プラットフォームのカスタム MCP ノードにおける設計上の見落としで、最大重要度と評価されています。このノードは、アプリケーションの AI エージェントが MCP サーバー経由で外部ツールと通信するためのプラグインコネクタとして機能します。
最近の VulnCheck アラートによると、ハッカーはすでにこの欠陥を悪用して悪意のある JavaScript コードを挿入し始めており、分析によると公開インターネット上に約 15000 個の Flowise インスタンスが露出しています。
この欠陥は AI 開発プラットフォームのバージョン 3.0.6 で修正され、最新版は v 3.1.1 となっており、先月リリースされました。
MCP 設定の不適切な検証
Flowise は、カスタマイズされた大言語モデル(LLM)フローを構築するためのドラッグアンドドロップサービスです。ユーザーはカスタム MCP ノードをワークフローにドラッグし、必要な設定(JSON)を貼り付けて外部の MCP サーバーを指定することができます。
アプリケーションが任意の外部 MCP サーバーにユーザー供給の設定を使用して接続できるカスタム MCP ノードが問題の場所です。バージョン 3.0.5 では、これらの設定は悪意のあるコードに対して適切に検証されていないため、リモートコード実行が可能です。
「このノードはユーザー提供の mcpServerConfig 文字列を解析して MCP サーバー設定を構築します。」と、この欠陥に関する NVD の 説明に書かれています。「しかし、このプロセス中に、セキュリティ検証なしに JavaScript コードが実行されます。具体的には、convertToValidJSONString 関数内で、ユーザー入力は直接 Function() コンストラクタに渡され、入力が JavaScript コードとして評価および実行されます。」
名前の付いた関数は完全な Node.js ランタイム特権で実行されるため、「child_process や fs などの危険なモジュールにアクセスできます。」と説明は付け加えています。
この欠陥は CVE-2025-59528 の下で追跡され、2025年9月の開示時に CVSS 10.0 の重大度評価を受けています。この欠陥は「コード生成の不適切な制御(コードインジェクション)」に分類されました。
ハッカーが未パッチのインスタンスを悪用
パッチが数ヶ月前から利用可能でしたが、最近の VulnCheck の調査によると、初めての野生での悪用は 4 月 6 日に発生しました。脆弱性インテリジェンス企業のセキュリティ研究担当副社長である Caitlin Condon は、LinkedIn 投稿を通じて悪用を警告しました。
「今朝早く、VulnCheck の Canary ネットワークは CVE-2025-59528 の初めての悪用検知を開始しました。これは Flowise の任意 JavaScript コード注入脆弱性です。」と彼女は書きました。「観察された活動はこれまでのところ単一の Starlink IP から発信されています。」当時、約 12000 から 15000 インスタンスが露出していたと彼女は投稿で述べていますが、それらがどれだけ脆弱な Flowise バージョンを実行していたかは不明です。
Condon は、Canary ネットワークによって能動的な悪用に対しても警告されたとしている、認証不足(CVE-2025-8943)と任意ファイルアップロード(CVE-2025-26319)の 2 つの追加の重大な Flowise 脆弱性を投稿に追加しました。完全なペイロードとリクエストデータを含む独占的な悪用の詳細は、Canary Intelligence 顧客に約束されました。さらに、悪用、PCAP、YARA ルール、ネットワークシグネチャ、およびターゲット Docker コンテナは Initial Access Intelligence 顧客が利用できるようになっています。
