技術的な説明
Flowise の CustomMCP ノードのコードインジェクション脆弱性により、認証なしで任意のコードを実行できます。CustomMCP ノードはユーザーが提供する mcpServerConfig 文字列をセキュリティ検証なしでパースするため、child_process(コマンド実行)と fs(ファイルシステムアクセス)を含む危険な Node.js モジュールへのアクセスが可能になり、完全なランタイム特権で実行されます。最初の確認された野生のエクスプロイト利用は 2026 年 4 月初旬に Starlink IP から検出されました。12,000~15,000 の未パッチインスタンスがインターネット上で到達可能なままです。重要なことに、Flowise インスタンスは通常 OpenAI、Anthropic、Azure OpenAI、およびその他の LLM プロバイダーの API キーを保持しているため、エクスプロイト成功時には下流のすべての AI サービスへのアクセスが許可されます。
攻撃経路
認証されていないリモートアタッカーが、悪意のある mcpServerConfig ペイロードを含む細工された HTTP リクエストを CustomMCP ノードエンドポイントに送信します。認証情報や事前アクセスは不要です。エクスプロイト利用により、完全なシステムコマンド実行と Flowise インスタンスに保存されているすべてのシークレットへのアクセスが得られます。
影響を受けるシステム
Flowise 3.1.1 より前のバージョン。CustomMCP ノードを信頼できない入力に公開している Flowise の任意のデプロイメント。
緩和策
Flowise バージョン 3.1.1 に直ちにアップグレードしてください。露出インスタンスを侵害の兆候(予期しない外向き接続、LLM プロバイダーへの予期しない API 呼び出し)について監査してください。侵害されたまたは潜在的に侵害された Flowise インスタンスに保存されているすべての API キーをローテーションしてください。認証制御なしで Flowise 管理インターフェイスをパブリックインターネットに公開しないでください。