「Flowise」に深刻な脆弱性、パッチは未提供 - PoCが公開
AIアプリケーションのローコード開発フレームワーク「Flowise」に深刻な脆弱性が明らかとなった。アップデートは提供されておらず、概念実証(PoC)が公開されている。
具体的には、細工した「POSTリクエスト」を送信することで、認証を必要とすることなくリモートよりJavaScriptコードの実行が可能となる脆弱性「CVE-2025-55346」が判明したもの。
またロールベースのアクセス制御が欠如しており、ネットワーク経由でOSコマンドを実行できる「CVE-2025-8943」も確認された。
CVE番号を採番したJFrogでは、共通脆弱性評価システム「CVSSv3.1」において、いずれもベーススコアを「9.8」と評価し、重要度を「クリティカル(Critical)」とレーティングしている。
現地時間2025年8月11日にリリースされた「同3.0.5」も同脆弱性の影響を受けるという。パッチなどは提供されておらず、修正方法は不明。
JFrogによれば、開発者より脆弱性の緩和策などは提供されていないとしている。JFrogでは現地時間2025年8月14日付けでアドバイザリを公開し、同脆弱性に関する概念実証(PoC)を公開している。
(Security NEXT - 2025/08/19 )
ツイート
PR
関連記事
「PostgreSQL」にセキュリティアップデート - 「13系」は11月にEOL
「Microsoft Edge」にアップデート - 脆弱性5件を解消
「Trend Micro Apex One」ゼロデイ脆弱性の修正パッチが公開
CMS「Drupal」の二要素認証モジュールに認証回避のおそれ
「Cisco FMC」に深刻な脆弱性 - 認証なしでコマンド実行のおそれ
Cisco、ファイアウォール製品群にアドバイザリ21件を公開
「Apache Tomcat」にアップデート - 脆弱性「MadeYouReset」を解消
「HTTP/2」実装に「MadeYouReset」脆弱性 - DoS攻撃のおそれ
「Exchange Server」のハイブリッド構成に深刻な脆弱性 - MSが定例外アドバイザリ
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
