AI開発フレームワーク「Flowise」に複数の「クリティカル」脆弱性

また管理者権限を持つ場合にリバースシェルを設置できる「GHSA-7944-7c6r-55vv」や、任意ファイルやSQLiteデータベースを読み取ることが可能となる「GHSA-99pg-hqvx-r4gf」が明らかとなった。

共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、「GHSA-3gcm-f6qx-ff7p」が最高値となる「10.0」、「GHSA-q67q-549q-p849」と「CVE-2025-58434」が「9.8」で続く。のこる2件も「9.1」と高い。

さらに重要度「高（High）」とされるサンドボックス外でコードが実行される「GHSA-6933-jpx5-q87q」、サーバサイドリクエストフォージェリ（SSRF）の脆弱性「GHSA-hr92-4q35-4j3m」なども指摘されている。

開発チームでは、現地時間2025年9月15日にリリースした「Flowise3.0.6」にてこれら脆弱性を修正した。概念実証なども公開されており、注意が必要となる。

（Security NEXT - 2025/09/16 ） ツイート

PR

関連記事

Samsung製端末、ゼロデイ攻撃の標的に - 商用レベルスパイウェアを悪用か
バッファロー製ルータ「WSR-1800AX4シリーズ」に脆弱性 - ファームウェアの更新を
「GNU Libmicrohttpd」に複数脆弱性 - 実験的コンポーネントに起因
JetBrains「YouTrack」に複数の脆弱性 - トークン漏洩のおそれも
NECのHAクラスタソフト「CLUSTERPRO X」に深刻な脆弱性
Elasticのエンドポイント対策「Elastic Defend」に脆弱性 - 修正版を提供
「NVIDIA App」インストーラに脆弱性 - 権限昇格のおそれ
組織の「ネット玄関口」狙う攻撃に注意 - 可視化や脆弱性対策の徹底を
Apple、「iOS 26.1」「iPadOS 26.1」を公開 - 56件の脆弱性を解消
Apple、脆弱性を修正した「iOS 18.7.2」「iPadOS 18.7.2」を公開