「Flowise」に深刻な脆弱性、パッチは未提供 - PoCが公開
AIアプリケーションのローコード開発フレームワーク「Flowise」に深刻な脆弱性が明らかとなった。アップデートは提供されておらず、概念実証(PoC)が公開されている。
具体的には、細工した「POSTリクエスト」を送信することで、認証を必要とすることなくリモートよりJavaScriptコードの実行が可能となる脆弱性「CVE-2025-55346」が判明したもの。
またロールベースのアクセス制御が欠如しており、ネットワーク経由でOSコマンドを実行できる「CVE-2025-8943」も確認された。
CVE番号を採番したJFrogでは、共通脆弱性評価システム「CVSSv3.1」において、いずれもベーススコアを「9.8」と評価し、重要度を「クリティカル(Critical)」とレーティングしている。
現地時間2025年8月11日にリリースされた「同3.0.5」も同脆弱性の影響を受けるという。パッチなどは提供されておらず、修正方法は不明。
JFrogによれば、開発者より脆弱性の緩和策などは提供されていないとしている。JFrogでは現地時間2025年8月14日付けでアドバイザリを公開し、同脆弱性に関する概念実証(PoC)を公開している。
(Security NEXT - 2025/08/19 )
ツイート
PR
関連記事
ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令
UIライブラリ「Swiper」に深刻な脆弱性 - 利用アプリは注意
ウェブメール「Roundcube」の脆弱性2件が攻撃の標的に
オブジェクトストレージ「RustFS」にXSS脆弱性 - 乗っ取りのおそれも
「Trend Micro Apex One」に深刻な脆弱性 - アップデートで修正
「FinalCode Client」に複数の脆弱性 - 上書きインストールを
「ServiceNow AI Platform」に脆弱性 - 1月以降のアップデートで修正
「GitLab」にセキュリティアップデート - 複数脆弱性を修正
「Cisco Catalyst SD-WAN」に深刻な脆弱性 - すでに悪用も
「Firefox 148」で50件超の脆弱性を修正 - AI制御機能の追加も
