つみかさね

CVE-2026-30824

Critical(9.8)

CVE-2026-30824 — Flowise NVIDIA NIM 認証バイパス

公開日: 2026-03-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
FlowiseFlowiseAI< 3.0.13
CVEFlowiseNVIDIA認証バイパスLLM

概要

Flowise は LLM フローを構築するためのドラッグ&ドロップ UI ツールです。バージョン 3.0.13 未満において、NVIDIA NIM ルーター (/api/v1/nvidia-nim/*) がグローバル認証ミドルウェアのホワイトリストに含まれており、特権的なコンテナ管理およびトークン生成エンドポイントへの非認証アクセスが可能です。

この脆弱性により、攻撃者は認証なしで NVIDIA NIM のコンテナ管理機能やトークン生成機能にアクセスし、サーバリソースの操作が可能です。

CVSSベクトル

項目
CVSSスコア9.8
深刻度Critical
CWECWE-306 (認証の欠如)

影響を受けるソフトウェア

製品ベンダー影響バージョン
FlowiseFlowiseAI< 3.0.13

修正バージョンと回避策

  • 修正バージョン: Flowise 3.0.13 へのアップデート
  • 暫定回避策: Flowise インスタンスを外部ネットワークから直接アクセスできないよう制限する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-30821Flowise 非認証ファイルアップロードCVSS 9.8CVE-2026-30820Flowise 内部ヘッダ認証バイパスCVSS 8.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-30824
GitHub Advisory:https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-5f53-522j-j454
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。