つみかさね

CVE-2026-56271

Critical(9.8)

FlowiseのJWT認証バイパス CVE-2026-56271:影響範囲と対応方法

公開日: 2026-07-13データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
FlowiseFlowiseAI3.0.13以前

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Flowiseのバージョンを確認する(3.0.13以前なら影響あり)
  2. 2JWT_AUTH_TOKEN_SECRET等の環境変数が設定されているか確認する
  3. 3未設定の場合は即座に独自のランダム値に設定する
  4. 4Flowise 3.1.0以降へアップデートする

影響対象

Flowise 3.0.13以前の利用者

補足

  • -環境変数設定はアップデートと併用してください
  • -アップデート後は既存のセッショントークンが無効化されることに注意
CVEFlowiseJWT認証バイパスAIツール

30秒で判断

対応すべき人:

  • Flowise 3.0.13以前を本番環境で稼働させている
  • JWT_AUTH_TOKEN_SECRETJWT_REFRESH_TOKEN_SECRETJWT_AUDIENCEJWT_ISSUER 環境変数を設定していない
  • エンタープライズ認証機能(パスポートミドルウェア)を有効にしている

対応不要な人:

  • Flowise 3.1.0以降を使用中
  • JWT環境変数をすべて独自の値に設定済み
  • Flowiseを使用していない

確認コマンド:

# Flowiseのバージョン確認
flowise --version
# または
cat node_modules/flowise/package.json | grep '"version"'

# 環境変数の設定確認
echo $JWT_AUTH_TOKEN_SECRET
echo $JWT_REFRESH_TOKEN_SECRET

概要

FlowiseのエンタープライズパスポートベースのJWT認証ミドルウェア(packages/server/src/enterprise/middleware/passport/index.ts)は、以下の環境変数が設定されていない場合にハードコードされたデフォルト値にフォールバックします。

環境変数デフォルト値(公知)
JWT_AUTH_TOKEN_SECRETauth_token
JWT_REFRESH_TOKEN_SECRETrefresh_token
JWT_AUDIENCEAUDIENCE
JWT_ISSUERISSUER

これらのデフォルト値は公開されたソースコードから誰でも確認できるため、攻撃者はこの既知の秘密鍵を使って任意の有効なJWTを生成し、管理者を含む任意のユーザーとしてシステムにアクセスできます。


CVSSベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh
CVSSスコア9.8(Critical)

影響を受けるソフトウェア

製品ベンダー影響バージョン
FlowiseFlowiseAI3.0.13以前

修正バージョンと回避策

修正バージョン: Flowise 3.1.0以降

回避策(アップデートが困難な場合): すべてのJWT関連環境変数を独自のランダムな文字列に設定します。

# 安全なランダム文字列の生成例
export JWT_AUTH_TOKEN_SECRET=$(openssl rand -hex 32)
export JWT_REFRESH_TOKEN_SECRET=$(openssl rand -hex 32)
export JWT_AUDIENCE="your-app-name"
export JWT_ISSUER="your-company.com"

関連リンク


データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。