技術的な説明
Flowise の CustomMCP Node のコード注入脆弱性により、リモート攻撃者は認証なしに任意のコードを実行できます。CustomMCP ノードはユーザー提供の mcpServerConfig 文字列をセキュリティ検証なしで解析し、child_process(コマンド実行)と fs(ファイルシステムアクセス)を含む危険な Node.js モジュールへのアクセスを可能にします。完全なランタイム権限が付与されます。実際の悪用は 2026 年 4 月初旬に Starlink IP から最初に確認されました。12,000~15,000 個のパッチ未適用インスタンスがインターネット上でアクセス可能な状態が継続しています。重大なことに、Flowise インスタンスは通常、OpenAI、Anthropic、Azure OpenAI、および他の LLM プロバイダーの API キーを保持しており、成功した悪用によってすべてのダウンストリーム AI サービスへのアクセスが可能になります。
攻撃経路
認証されていないリモート攻撃者が、悪意のある mcpServerConfig ペイロードを含むカスタムされた HTTP リクエストを CustomMCP ノードエンドポイントに送信します。認証情報や事前のアクセスは必要ありません。悪用により、完全なシステムコマンド実行と Flowise インスタンスに保存されているすべてのシークレットへのアクセスが可能になります。
影響を受けるシステム
3.1.1 より前の Flowise バージョン。CustomMCP ノードを信頼されていない入力に露出させている Flowise のすべてのデプロイメント。
緩和策
直ちに Flowise バージョン 3.1.1 にアップグレードしてください。露出したインスタンスについて、侵害の兆候(異常な外向き接続、LLM プロバイダーへの予期しない API 呼び出し)を監査してください。侵害されたまたは侵害の可能性がある Flowise インスタンスに保存されているすべての API キーをローテーションしてください。認証制御なしに Flowise 管理インターフェースをパブリックインターネットに露出させないでください。