概要
AIエージェント構築プラットフォーム「Flowise」において、CVSSスコア10.0(最高深刻度)のリモートコード実行(RCE)脆弱性CVE-2025-59528が実際の攻撃で悪用されていることが確認された。2025年9月にパッチが公開されてから6か月以上が経過しているにもかかわらず、2026年4月時点でも多数のインスタンスが脆弱なバージョンのまま運用されており、インターネット上に公開された1万2000〜1万5000件のインスタンスがリスクにさらされている状態だ。攻撃はVulnCheckのCanaryネットワークによって検出され、単一のStarlinkのIPアドレスから発信されていることが確認されている。
脆弱性の技術的詳細
この脆弱性は、Flowiseの「CustomMCP」ノードにおけるコードインジェクションの欠陥に起因する。攻撃者はmcpServerConfig入力値を適切な検証なしに評価・実行する処理を悪用し、サーバー上で任意のJavaScriptコードを実行できる。Node.jsの危険なモジュール—child_processによるOSコマンドの実行やfsモジュールによるファイルシステムへの無制限アクセス—が利用可能となるため、機密データの窃取やシステムの完全な乗っ取りが可能となる。攻撃にはAPIトークンのみが必要であり、特別な権限を持つアカウントは不要だ。脆弱なバージョンはFlowise 3.0.6未満のすべてのバージョンであり、修正版は同年9月にリリースされた3.0.6、そして最新の推奨バージョンは3.1.1となっている。
攻撃の背景と連鎖するリスク
CVE-2025-59528はFlowiseにおいて実際に悪用が確認された3件目の脆弱性となる。すでにCVE-2025-8943(CVSS 9.8)とCVE-2025-26319(CVSS 8.9)も攻撃に利用されており、このプラットフォームが継続的な標的となっていることを示している。Flowiseはローカルまたはクラウド上にセルフホストされるオープンソースツールのため、企業のセキュリティポリシーが行き届かないまま個人や小規模チームが公開インターネット上に展開しているケースが多い。パッチリリースから長期間が経過しても多数のインスタンスが未更新のまま残っている現状は、AIツールのセキュリティアップデート管理に組織的な課題があることを浮き彫りにしている。
推奨される対応
Flowiseを利用している組織は、直ちにバージョン3.1.1(最低でも3.0.6)へのアップデートを実施することが最優先事項となる。業務上の必要がない場合はインスタンスをインターネットに直接公開しないよう構成を見直し、不審なJavaScript実行パターンやアクセスログを確認して侵害の痕跡がないかを調査することも重要だ。併せて、CVE-2025-8943およびCVE-2025-26319への対応状況も確認し、使用中のAPIトークンの棚卸しと不要なトークンの無効化も推奨される。