技術的な説明
Obsidian Securityの研究者は、GitHubで52,000以上のスターを獲得しているオープンソースのAIエージェントワークフロープラットフォームであるFlowiseの1クリックリモートコード実行脆弱性を開示しました。根本原因は、Custom MCPのstdio transportがコード実行プリミティブであり、設定されたコマンドを子プロセスとして生成することです。認可されたユーザーが細工されたchatflowアーティファクトをインポートすると、stdio MCP設定は即座に処理され、追加のユーザー操作なしに任意のサーバー側OSコマンド実行がトリガーされます。Flowise Cloudはstdio MCPが無効化されているため影響を受けません。Custom MCPを使用しているセルフホストのFlowise インストールが影響を受けるサーフェスです。
攻撃経路
攻撃者は悪意のあるFlowise chatflowエクスポート(JSONアーティファクト)を作成し、認可されたユーザーに通常のchatflowインポートUIを介してインポートするよう説得します。ワークフロー実行前のインポート単独でサーバー側実行がトリガーされます。攻撃は共有chatflowリンク、chatflowテンプレートのサプライチェーン侵害、またはソーシャルエンジニアリングを通じて配信される可能性があります。
影響を受けるシステム
Custom MCPが有効なセルフホストのFlowiseインストール(stdio transport)。Flowise Cloud(flowise.aiホストサービス)は明確に影響を受けません。パッチ前のFlowiseバージョンに影響します。正確なバージョン範囲についてはベンダー開示を確認してください。
緩和策
セルフホストのFlowiseでstdio MCPを無効化します:`CUSTOM_MCP_PROTOCOL=sse`を設定(SSE transportはローカルプロセスを生成しません)。chatflowインポートを信頼できる管理者のみに制限します。Flowiseサーバープロセスをホストファイルシステムまたはクレデンシャルアクセスなしのコンテナで分離します。Flowise Node.jsプロセスからの子プロセス生成を監視します。利用可能な場合はベンダーパッチを適用します。