「Flowise」に深刻な脆弱性、パッチは未提供 - PoCが公開
AIアプリケーションのローコード開発フレームワーク「Flowise」に深刻な脆弱性が明らかとなった。アップデートは提供されておらず、概念実証(PoC)が公開されている。
具体的には、細工した「POSTリクエスト」を送信することで、認証を必要とすることなくリモートよりJavaScriptコードの実行が可能となる脆弱性「CVE-2025-55346」が判明したもの。
またロールベースのアクセス制御が欠如しており、ネットワーク経由でOSコマンドを実行できる「CVE-2025-8943」も確認された。
CVE番号を採番したJFrogでは、共通脆弱性評価システム「CVSSv3.1」において、いずれもベーススコアを「9.8」と評価し、重要度を「クリティカル(Critical)」とレーティングしている。
現地時間2025年8月11日にリリースされた「同3.0.5」も同脆弱性の影響を受けるという。パッチなどは提供されておらず、修正方法は不明。
JFrogによれば、開発者より脆弱性の緩和策などは提供されていないとしている。JFrogでは現地時間2025年8月14日付けでアドバイザリを公開し、同脆弱性に関する概念実証(PoC)を公開している。
(Security NEXT - 2025/08/19 )
ツイート
PR
関連記事
富士通製パソコンの同梱認証ソフトに脆弱性 - 修正版が公開
「n8n」に深刻なRCE脆弱性 - 2025年11月の更新で修正済み
分散ストレージ「RustFS」に認証回避の深刻な脆弱性
データ圧縮ライブラリ「zlib」に含まれる「untgz」に深刻な脆弱性
「Trend Micro Apex Central」にクリティカル脆弱性 - アップデートを公開
「Apache Uniffle」に脆弱性 - 中間者攻撃のおそれ
「n8n」に今月2件目の「クリティカル」脆弱性 - 旧版に影響
IoTゲートウェイ「OpenBlocks」に脆弱性 - 修正版が公開
組込用SSHライブラリ「wolfSSH」に認証回避など深刻な脆弱性
「GitLab」にセキュリティアップデート - 脆弱性7件を解消
