「Flowise」のチャットボットライブラリに脆弱性 - アップデートを

大規模言語モデル（LLM）を活用したフローやAIエージェントなどを開発できるローコードツール「Flowise」のチャットボットライブラリに脆弱性が判明した。

「Flowise Chat Embed」は、ウェブサイトへチャットボットを埋め込むことができるライブラリ。脆弱なインスタンスで稼働するチャットボットにおいて「JavaScript」を注入できる格納型クロスサイトスクリプティングの脆弱性「CVE-2024-9148」が明らかとなった。

6月に脆弱性を発見、開発チームへ報告していたTenableが、現地時間9月24日にセキュリティアドバイザリを公開し、明らかにした。概念実証コード（PoC）もあわせて公開している。

同社は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.6」と評価。重要度を「クリティカル（Critical）」とレーティングしている。

現地時間9月15日に開発チームより修正の詳細について連絡があったという。

同月18日に公開された「Flowise 2.1.1」にアップデートし、脆弱性を修正するよう注意を喚起した。またライブラリのみ利用している場合は、「Flowise Chat Embed 2.0.0」へ更新するよう呼びかけている。

（Security NEXT - 2024/10/02 ） ツイート

PR

関連記事

看護師が患者資料を本に挟んで持ち帰り - 本売却から発覚
ドメイン名紛争テーマにシンポジウム - 紛争事例や対処法と今後の課題
教育支援サービス侵害、ランサムウェアによる個人情報流出の可能性
リモートアクセス用認証キー紛失、外部アクセス確認されず - デ協
ベトナム子会社でランサム被害、製造出荷に影響なし - 大日精化工業
Fortinet複数製品の認証回避脆弱性、悪用が発生 - 設定確認を
「Apache Commons Text」旧版に深刻な脆弱性 - 「FileMaker Server」に影響
「Chrome」にアップデート - 「WebGPU」「V8」の脆弱性を解消
職員アカウントが侵害、迷惑メールの踏み台に - 中部生産性本部
SAP、月例パッチで脆弱性15件を修正 - 「クリティカル」も