概要
人気のオープンソースAI開発プラットフォームであるFlowiseに存在する深刻なセキュリティ欠陥が実世界で悪用されています。この脆弱性はCVE-2025-59528として追跡されており、コードインジェクションタイプでCVSSスコア10.0を記録しています。
脆弱性の詳細
この脆弱性は、Flowiseが外部サーバー設定を処理する方法に起因します。特に問題となるのはCustomMCP(モデルコンテキストプロトコル)ノードです。ユーザーが外部サーバーへの接続設定を入力すると、アプリケーションはこのデータを通じて特定の関数を経由して最終的なセットアップを作成します。
しかし、アプリケーションはユーザーが提供したテキストをJavaScriptコードとして評価し、セキュリティフィルタなしで処理します。これにより、入力されたデータが直接Node.jsのFunction()コンストラクターに渡されます。この実行は完全なランタイム権限を持つため、攻撃者は容易にファイルシステムや子プロセスなどの重要なシステムモジュールにアクセスする危険なコマンドを書き込むことができます。
悪用の手順
この脆弱性を悪用するには、攻撃者が特別に作成されたネットワークリクエストを脆弱なAPIエンドポイントに送信するだけです。サーバーが不正な設定文字列を受け取ると、バックグラウンドでペイロードを実行し、攻撃者に完全なリモートコード実行権限を与えます。
現実世界での影響
サイバーセキュリティ企業VulnCheckは最近、この脆弱性の最初の実世界での悪用を検出しました。初期攻撃はStarlink IPアドレスから始まったと報告されています。
- 完全なホストシステムへの侵害
- ファイルシステムに対する非公開読み取り/書き込みアクセス
- 危険なシステムレベルコマンドの静的な実行
- 機密ビジネスおよび顧客データのエクスフィレーション
対策とアップデート
この脆弱性は、Flowiseバージョン3.0.5以前に影響を及ぼします。開発チームは公式に対応し、パッチ付きのバージョン3.0.6をリリースしました。
セキュリティチームとネットワーク管理者は、すぐにFlowiseデプロイメントをこの最新版にアップグレードする必要があります。これらのインスタンスが暴露されたままでは、現在進行中のアクティブなスキャンや悪用によりシステム侵害が確実となります。
元記事: https://gbhackers.com/attackers-exploit-flowise-injection-vulnerability/