技術的な説明
Flowise の CustomMCP ノードの最大重度度(CVSS 10.0)コードインジェクション脆弱性の積極的な悪用が、2026年4月初旬に VulnCheck の研究者によって確認されました。2025年9月にパッチが適用された(バージョン 3.0.6)にもかかわらず、12,000~15,000 のインスタンスがオンラインで露出したままになっています。この脆弱性により、セキュリティ検証なしに MCP サーバー構成解析中に JavaScript コードを実行できます。
攻撃経路
攻撃者は CustomMCP ノード構成を通じて悪意のあるコードを注入し、child_process(コマンド実行)と fs(ファイルシステム)へのアクセスを獲得し、完全な Node.js ランタイム権限を持ちます。Flowise インスタンスは通常、OpenAI、Anthropic、Azure OpenAI の API キーと、データベースおよび内部システムの認証情報を保持しています。
影響を受けるシステム
Flowise バージョン 3.0.6 より前のすべてのバージョン。MCP サーバー統合を使用して AI エージェント ワークフロー用に Flowise を使用するすべての組織がリスクにさらされています。
緩和策
Flowise を直ちにバージョン 3.0.6 以降にアップグレードしてください。露出している Flowise インスタンスの侵害の兆候を監査します。Flowise に保存されているすべての API キーと認証情報をローテーションしてください。Flowise インスタンスがパブリックインターネットへの露出から制限されることを確認してください。