Attackers Exploit Flowise Injection Vulnerability as 15,000+ Instances Remain Exposed
2026/04/07 gbhackers — 人気のオープンソース AI 開発プラットフォーム Flowise に存在する深刻なセキュリティ脆弱性が、現在進行形で実環境で悪用されている。このコード・インジェクション脆弱性 CVE-2025-59528 は、CVSS スコア最大値 10.0 と評価されている。
この脆弱性を悪用するリモート攻撃者は、悪意のコードを実行することで、影響を受けるサーバの完全な制御が可能となる。セキュリティ研究者によると、最大 15,000 の Flowise インスタンスがインターネット上に公開されている状態にあり、このプラットフォームを利用する組織に極めて危険な状況が生じている。
コード・インジェクションの発生メカニズム
この脆弱性の根本的な原因は、Flowise の CustomMCP (Model Context Protocol) ノード内に存在する、外部サーバ・コンフィグの処理方法にある。
外部サーバ接続のためのユーザーが入力したコンフィグ設定は、アプリケーション内の関数により処理され、最終的な設定が構築される。しかし、この入力データにはセキュリティ・フィルタが適用されないため、JavaScript コードとして評価されてしまう。
続いて生のユーザー入力が、システムにより Node.js の Function () コンストラクタへ渡され、実行時の完全なランタイム権限での処理が実行される。そのため攻撃者は、悪意のコマンドを容易に記述し、ファイル・システムやチャイルド・プロセスなどの重要モジュールへのアクセスを可能にする。
この攻撃は、脅威アクターにとって極めて容易なものだ。脆弱な API エンドポイントへ向けて、細工されたネットワーク・リクエストを送信する攻撃者は、悪意のコンフィグ文字列をサーバ側に処理させ、バックグラウンドでのペイロード実行を可能にするため、完全なリモート・コード実行が成立する。
すでに提供された PoC が実証するのは、単一の Web リクエストを介した任意のシェル・コマンド実行と不正ファイルの作成が可能であることだ。
アクティブな脅威と実環境への影響
この脆弱性を標的とする実際の攻撃を初めて検知したのは、サイバーセキュリティ企業 VulnCheck である。同社の早期警戒ネットワークによると、初期攻撃は単一の Starlink IP アドレスから発生している。
このコード・インジェクション脆弱性が悪用された場合には、以下の深刻な影響が発生する:
- ホスト・システムの完全侵害
- ファイル・システムへの不正な読み書き
- 危険なシステム・レベル・コマンドのサイレント実行
- 機密性の高い業務データおよび顧客データの外部流出
このプラットフォームが攻撃対象となるのは、今回が初めてのことではない。これまでにも、深刻な脆弱性 CVE-2025-8943/CVE-2025-26319 などが相次いで悪用されている。
この脆弱性が影響を及ぼす範囲は、Flowise のバージョン 3.0.5 である。すでに Flowise の開発チームは、修正済みバージョン 3.0.6 をリリースし、この問題に対処している。セキュリティ・チームおよびネットワーク管理者にとって必要なことは、直ちに Flowise を 3.0.6 へアップグレードし、インフラを保護することだ。現在進行中のスキャンおよび攻撃状況を踏まえると、パッチ未適用のインスタンスを公開し続けることは、実質的にシステム侵害を許容するに等しい。
訳者後書:今回の Flowise における脆弱性 CVE-2025-59528 は、外部からの入力データをプログラムが安全に処理できないことに起因します。具体的には、ユーザーが入力したコンフィグ設定を JavaScript コードとして評価し、 Node.js の Function () コンストラクタへ直接渡す仕様に問題があります。この処理が、セキュリティ・フィルタを通さず、実行時の完全な権限で行われるため、悪意のコマンド実行を許す結果となっています。ご利用のチームは、ご注意ください。よろしければ、Flowise での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.