30秒で判断
- 対応すべき人: Flowise 3.0.1〜3.0.8未満を
ALLOW_BUILTIN_DEP有効で運用している方 - 対応不要な人: Flowiseを使用していない、
ALLOW_BUILTIN_DEPを無効にしている、または3.0.8以降へ更新済みの方 - 確認コマンド: Flowiseの管理画面またはpackage.jsonでバージョンを確認し、環境変数
ALLOW_BUILTIN_DEPの設定を確認
概要
FlowiseはLLMアプリケーションをGUIで構築できるツールです。3.0.1から3.0.8より前のバージョン(およびALLOW_BUILTIN_DEPを有効化したそれ以降)では、統合されているPuppeteerおよびPlaywrightをnodevm実行環境内で不安全に扱っているため、認証済み攻撃者が攻撃者制御のブラウザバイナリパスやパラメータを指定できます。
ツール実行時に、指定した実行ファイル・パラメータがホスト上で実行され、意図されたnodevmサンドボックスの制限を回避します。結果として、ホストのコンテキストで任意コード実行が成立します(CVSS 9.9)。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.9 |
| 深刻度 | Critical |
| CWE | CWE-77 (コマンドインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Flowise | FlowiseAI | 3.0.1 〜 3.0.8未満(ALLOW_BUILTIN_DEP有効時) |
修正バージョンと回避策
- 修正バージョン: Flowise 3.0.8以降へアップデート
- 回避策:
ALLOW_BUILTIN_DEPを無効にする。管理画面へのアクセスを信頼できる利用者に限定する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
