技術的な説明
Obsidian Securityの研究者は、GitHubスター52,000以上を持つオープンソースAIエージェントワークフロープラットフォームであるFlowiseの1クリックリモートコード実行脆弱性を開示しました。根本的な原因は、カスタムMCPのstdioトランスポートがコード実行プリミティブであることです。設定されたコマンドを子プロセスとして生成します。認可されたユーザーが作成されたchatflowアーティファクトをインポートすると、stdio MCP設定が即座に処理され、追加のユーザー操作なしに任意のサーバー側OSコマンド実行がトリガーされます。Flowise Cloudはstdio MCPが無効化されているため影響を受けません。カスタムMCPを使用している自己ホスト型Flowiseインストールが影響を受けます。
攻撃経路
攻撃者は悪意のあるFlowise chatflowエクスポート(JSONアーティファクト)を作成し、認可されたユーザーに通常のchatflowインポートUIを介してそれをインポートするよう仕向けます。インポート単独により、ワークフローが実行される前に、サーバー側実行がトリガーされます。攻撃は、共有chatflowリンク、chatflowテンプレートのサプライチェーン侵害、またはソーシャルエンジニアリングを通じて配信される可能性があります。
影響を受けるシステム
カスタムMCPが有効な自己ホスト型Flowiseインストール(stdioトランスポート)。Flowise Cloud(flowise.ai ホスティングサービス)は明示的に影響を受けません。パッチ前のFlowiseバージョンに影響します。正確なバージョン範囲についてはベンダー開示を確認してください。
緩和策
自己ホスト型FlowiseでstdioMCPを無効化:`CUSTOM_MCP_PROTOCOL=sse`に設定(SSEトランスポートはローカルプロセスを生成しません)。chatflowインポートを信頼できる管理者のみに制限します。Flowiseサーバープロセスをホストファイルシステムまたは認証情報アクセスのないコンテナで分離します。Flowise Node.jsプロセスからの子プロセス生成を監視します。利用可能になったときにベンダーパッチを適用します。