Flowise 3.0.4に深刻なリモートコード実行（RCE）の脆弱性が発見される

Flowise 3.0.4における深刻なRCE脆弱性が発見される

セキュリティ研究者らは、大規模言語モデル（LLM）アプリケーション構築用のオープンソース低コードツールFlowise 3.0.4に、重大なリモートコード実行（RCE）脆弱性を発見しました。この脆弱性はCVE-2024-XXXX（割り当て待ち）として追跡されており、認証されていない攻撃者が脆弱なシステム上で任意のコードを実行できる危険性があります。これにより、Flowiseを導入している組織に重大なリスクが生じています。

技術的詳細

この脆弱性は、FlowiseのAPIエンドポイントにおける不適切な入力検証に起因し、攻撃者が悪意のあるペイロードを注入できるようになっています。公開されたエクスプロイトコード（Exploit-DB ID: 52440）では、認証されていないユーザーが巧妙に細工したHTTPリクエストを送信することでRCEを引き起こす方法が示されています。この問題は、Flowiseバージョン3.0.4以下に影響を及ぼし、アップグレード以外の緩和策は現時点で確認されていません。

主な技術的特徴：

• 攻撃ベクトル：APIの悪用による認証不要のリモートエクスプロイト
• 影響：システム全体の侵害、データ窃取や横展開のリスク
• エクスプロイトの可用性：公開済みの概念実証（PoC）コード
• 影響を受けるコンポーネント：Flowise APIサーバー（デフォルトポート：3000）

影響分析

Flowise 3.0.4をLLMワークフローに使用している組織は、以下のような重大なリスクにさらされています：

• 不正なシステムアクセス：攻撃者がホストマシンを制御可能
• データ漏洩：機密性の高いLLM学習データや独自のワークフローが流出する恐れ
• サプライチェーン攻撃：侵害されたFlowiseインスタンスが、より広範なネットワーク侵入の足がかりとなる可能性

エクスプロイトコードが公開されていることから、脅威アクターがパッチ適用前にこの脆弱性を悪用する可能性が高まっており、緊急性が増しています。

推奨対策

1. 即時対応：最新のFlowiseバージョンへのアップグレード（利用可能な場合）またはベンダー提供のパッチを適用。
2. ネットワーク分離：修正が完了するまで、Flowiseインスタンスを重要な内部システムから隔離。
3. 監視強化：ポート3000を標的としたエクスプロイト試行を検知するため、侵入検知システム（IDS）を導入。
4. アクセス制御：APIアクセスを信頼できるIPに制限し、認証要件を強化。

この脆弱性は、攻撃の複雑性が低く、影響が甚大であるため、セキュリティチームは優先的に対応する必要があります。パッチや緩和策に関する最新情報は、Flowiseの公式セキュリティアドバイザリを参照してください。