🔥 この記事の詳細
2026-07-07 更新
C
月内に

Flowise 3.1.3 未満の Windows 環境において、任意コード実行が可能な脆弱性

脆弱性🌐 英語ソース
🔢 CVECVE-2026-58057
📅 2026-07-07📰 exploit_db
📌 一言でいうと
Flowise 3.1.3 未満の Windows 環境において、任意コード実行が可能な脆弱性が報告されました。Custom MCP stdio 環境変数の検証がケースセンシティブであるため、「node_options」と指定することで制限を回避し、任意のコードを実行される恐れがあります。この脆弱性は認証済みのユーザーによって悪用されます。
🔍該当判定
  • LLMアプリ開発ツール「Flowise」を自社で導入・利用している
  • Flowiseを「Windows」サーバー上で動作させている
  • Flowiseのバージョンが「3.1.3」より前のバージョン(例: 3.1.2など)である
上記いずれにも該当しない → 静観でOK
該当時の対応
Flowise を最新バージョン (3.1.3 以降) にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Flowise CVE-2026-58057 対応について

お疲れさまです。Flowise の脆弱性に関する情報共有です。

■ 概要
Windows 環境で動作する Flowise において、環境変数の検証不備により、認証済みユーザーが任意のコードを実行できる脆弱性が発見されました (CVSS 2.3)。

■ 影響範囲
- 対象製品: Flowise
- 対象バージョン: 3.1.3 未満 (Windows デプロイメント)

■ 対応手順
1. Flowise のバージョンを確認し、3.1.3 未満であるか確認してください。
2. 最新バージョン (3.1.3 以降) へのアップデートを適用してください。

■ 参考情報
- Exploit-DB EDB-ID: 52623

対応優先度: 中
対応期限: 速やかに
Subject: [Security Advisory] Flowise CVE-2026-58057 Mitigation

Dear IT/Security Team,

We are sharing information regarding a vulnerability in Flowise.

■ Overview
An arbitrary code execution vulnerability (CVSS 2.3) has been identified in Flowise running on Windows. The flaw stems from case-sensitive validation of the Custom MCP stdio environment variable, allowing authenticated users to bypass the NODE_OPTIONS denylist.

■ Affected Scope
- Product: Flowise
- Versions: < 3.1.3 (Windows deployments)

■ Mitigation Steps
1. Verify the current version of Flowise in your Windows environment.
2. Update Flowise to version 3.1.3 or later.

■ Reference
- Exploit-DB EDB-ID: 52623

Priority: Medium
Deadline: As soon as possible