つみかさね

CVE-2026-30821

Critical(9.8)

CVE-2026-30821 — Flowise 非認証ファイルアップロード

公開日: 2026-03-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
FlowiseFlowiseAI< 3.0.13
CVEFlowiseファイルアップロードLLM

概要

Flowise は LLM フローを構築するためのドラッグ&ドロップ UI ツールです。バージョン 3.0.13 未満において、/api/v1/attachments/:chatflowId/:chatId エンドポイントが WHITELIST_URLS に含まれており、非認証でファイルアップロード API にアクセスできます。

サーバは chatbotConfig で定義された MIME タイプに基づいてアップロードを検証しますが、クライアントが提供する Content-Type ヘッダ(file.mimetype)を暗黙的に信頼し、ファイルの実際の内容(マジックバイト)や拡張子(file.originalname)を検証しません。攻撃者は Content-Type を許可された型(例: application/pdf)に偽装して、悪意あるスクリプトや任意のファイルをアップロードできます。

アップロードされたファイルはバックエンドストレージ(S3、GCS、またはローカルディスク)に永続化され、Stored XSS、悪意あるファイルのホスティング、RCE につながる可能性があります。

CVSSベクトル

項目
CVSSスコア9.8
深刻度Critical
CWECWE-434 (危険なタイプのファイルの無制限アップロード)

影響を受けるソフトウェア

製品ベンダー影響バージョン
FlowiseFlowiseAI< 3.0.13

修正バージョンと回避策

  • 修正バージョン: Flowise 3.0.13 へのアップデート
  • 暫定回避策: Flowise インスタンスを外部ネットワークから直接アクセスできないよう制限する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-30824Flowise NVIDIA NIM 認証バイパスCVSS 9.8CVE-2026-30820Flowise 内部ヘッダ認証バイパスCVSS 8.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-30821
GitHub Advisory:https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-j8g8-j7fc-43v6
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。