B
今週中
オープンソースのAIプラットフォーム「Flowise」において、CVSS 10.0の極めて深刻なリモートコード実行(RCE)脆弱性
📌 一言でいうと
オープンソースのAIプラットフォーム「Flowise」において、CVSS 10.0の極めて深刻なリモートコード実行(RCE)脆弱性が発見されました。CustomMCPノードにおけるJavaScriptコードの検証不足が原因で、攻撃者はAPIトークンを用いてサーバー上で任意のコードを実行し、システムを完全に制御できる可能性があります。現在、1.2万以上のインスタンスがインターネットに公開されており、実際に攻撃が観測されています。
🏢影響範囲
Flowiseを導入している企業、AI開発チーム、およびインターネットにインスタンスを公開している組織。
✅該当時の対応
Flowiseをnpmパッケージのバージョン3.0.6以降に速やかにアップデートしてください。また、不要なAPIトークンの削除と、インターネットへの直接公開を避け、VPNや認証プロキシ経由でのアクセスに制限することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Flowise RCE脆弱性 (CVE-2025-59528) 対応について
お疲れさまです。Flowiseの深刻な脆弱性に関する情報共有です。
■ 概要
FlowiseのCustomMCPノードにおいて、入力値の検証不足によるリモートコード実行(RCE)が可能な脆弱性が報告されました。CVSSスコアは10.0と最大値であり、APIトークンを保有する攻撃者がサーバー上の任意のJavaScriptコードを実行し、システム権限を完全に奪取できる可能性があります。
■ 影響範囲
- 対象製品: Flowise
- 修正済みバージョン: npmパッケージ 3.0.6 以降
■ 対応手順
1. 現在利用しているFlowiseのバージョンを確認してください。
2. 脆弱性が存在するバージョンを利用している場合は、速やかにバージョン 3.0.6 以降へアップデートしてください。
3. インターネットに直接公開している場合は、アクセス制限(IP制限やVPN経由)の導入を検討してください。
■ 参考情報
- VulnCheck / Flowise 公式告知
対応優先度: 高
対応期限: 直ちに実施
お疲れさまです。Flowiseの深刻な脆弱性に関する情報共有です。
■ 概要
FlowiseのCustomMCPノードにおいて、入力値の検証不足によるリモートコード実行(RCE)が可能な脆弱性が報告されました。CVSSスコアは10.0と最大値であり、APIトークンを保有する攻撃者がサーバー上の任意のJavaScriptコードを実行し、システム権限を完全に奪取できる可能性があります。
■ 影響範囲
- 対象製品: Flowise
- 修正済みバージョン: npmパッケージ 3.0.6 以降
■ 対応手順
1. 現在利用しているFlowiseのバージョンを確認してください。
2. 脆弱性が存在するバージョンを利用している場合は、速やかにバージョン 3.0.6 以降へアップデートしてください。
3. インターネットに直接公開している場合は、アクセス制限(IP制限やVPN経由)の導入を検討してください。
■ 参考情報
- VulnCheck / Flowise 公式告知
対応優先度: 高
対応期限: 直ちに実施
Subject: [Urgent] Flowise RCE Vulnerability (CVE-2025-59528) Mitigation
Dear IT/Security Team,
We are sharing critical information regarding a vulnerability in Flowise.
■ Overview
A critical Remote Code Execution (RCE) vulnerability (CVE-2025-59528, CVSS 10.0) has been discovered in the CustomMCP node of Flowise. Due to insufficient validation of the mcpServerConfig string, attackers with an API token can execute arbitrary JavaScript code, leading to full system compromise.
■ Scope
- Product: Flowise
- Fixed Version: npm package 3.0.6 and later
■ Mitigation Steps
1. Verify the current version of Flowise deployed in your environment.
2. Immediately update to version 3.0.6 or later if you are running a vulnerable version.
3. Review network exposure and ensure that Flowise instances are not directly exposed to the public internet without proper authentication or VPN.
■ Reference
- VulnCheck / Flowise Official Advisory
Priority: Critical
Deadline: Immediate
Dear IT/Security Team,
We are sharing critical information regarding a vulnerability in Flowise.
■ Overview
A critical Remote Code Execution (RCE) vulnerability (CVE-2025-59528, CVSS 10.0) has been discovered in the CustomMCP node of Flowise. Due to insufficient validation of the mcpServerConfig string, attackers with an API token can execute arbitrary JavaScript code, leading to full system compromise.
■ Scope
- Product: Flowise
- Fixed Version: npm package 3.0.6 and later
■ Mitigation Steps
1. Verify the current version of Flowise deployed in your environment.
2. Immediately update to version 3.0.6 or later if you are running a vulnerable version.
3. Review network exposure and ensure that Flowise instances are not directly exposed to the public internet without proper authentication or VPN.
■ Reference
- VulnCheck / Flowise Official Advisory
Priority: Critical
Deadline: Immediate