🔥 この記事の詳細
2026-07-01 更新
B
今週中

LLMベースのワークフロー構築プラットフォーム「Flowise」に、認証バイパスの脆弱性(CVE-2026-56278)

脆弱性🌐 英語ソース
🔢 CVECVE-2026-56278
📅 2026-07-01📰 csirt_it
📌 一言でいうと
LLMベースのワークフロー構築プラットフォーム「Flowise」に、認証バイパスの脆弱性(CVE-2026-56278)が発見されました。この脆弱性を悪用されると、攻撃者が有効なセッションクッキーを偽造し、任意のユーザーになりすましてシステムにアクセスできる可能性があります。影響を受けるのはバージョン 3.1.0 未満のすべてのバージョンであり、最新版へのアップデートが推奨されています。
🔍該当判定
  • LLM(大規模言語モデル)のワークフロー構築ツール「Flowise」を自社サーバーやクラウドで運用している
  • Flowiseのバージョンが 3.1.0 より前のバージョンである
  • Flowiseを外部(インターネット)からアクセス可能な状態で公開している
上記いずれにも該当しない → 静観でOK
該当時の対応
Flowiseをバージョン 3.1.0 以降にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Flowise CVE-2026-56278 対応について

お疲れさまです。Flowiseの脆弱性に関する情報共有です。

■ 概要
Flowiseにおいて、セッションクッキーの偽造による認証バイパスが可能な脆弱性(CVE-2026-56278)が報告されました。攻撃者が任意のユーザーとしてシステムにアクセスできる深刻なリスクがあります。

■ 影響範囲
- 対象製品: Flowise
- 対象バージョン: 3.1.0 未満のすべてのバージョン

■ 対応手順
1. 現在利用しているFlowiseのバージョンを確認してください。
2. 脆弱性が修正された最新バージョン(3.1.0以降)へアップデートを適用してください。

■ 参考情報
- GitHub Security Advisory: https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-2qqc-p94c-hxwh

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Flowise CVE-2026-56278 Mitigation

Dear IT/Security Team,

We are sharing information regarding a critical vulnerability in Flowise.

■ Overview
A vulnerability (CVE-2026-56278) has been identified in Flowise that allows an attacker to forge valid session cookies, leading to an authentication bypass and potential impersonation of arbitrary users.

■ Scope
- Product: Flowise
- Affected Versions: All versions prior to 3.1.0

■ Mitigation Steps
1. Verify the current version of Flowise deployed in your environment.
2. Update the installation to version 3.1.0 or later immediately.

■ Reference
- GitHub Security Advisory: https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-2qqc-p94c-hxwh

Priority: High
Deadline: Immediate