何が起きたか
Flowise 2.1.4より前は、フロントエンドウェブチャットウィジェットとバックエンド予測APIの両方にoverrideConfigオプションを公開しており、デフォルトで有効になっています。許可されたバリアブルのホワイトリストがなく、この機能は既知のエスケープパスを持つvm2サンドボックスに依存しているため、攻撃者は実行中のChainflowに任意の設定を注入できます。これにより、リモートコード実行とサンドボックスエスケープ、サーバークラッシュによるサービス拒否、内部エンドポイントへのSSRF、基盤となるLLMへのプロンプト注入、サーバー変数/データ流出が可能になります。NVDは2026年6月20日にCVSS 9.8 Criticalでこのセキュリティ欠陥を公開しました。
なぜ重要か
Flowiseは、LLMエージェント、RAGパイプライン、エージェンティックワークフローを構築するための最も広く使用されているセルフホスト型ロコードプラットフォームの1つです。単一の認証されていないリクエストにより、攻撃者はAIエージェントを実行しているホストを完全に制御でき、設定されているすべてのLLM APIキーとベクトルデータベース認証情報にアクセスでき、AIプラットフォームが生成するすべてのAI応答をサイレントにリダイレクトまたは操作できます。
攻撃経路
攻撃者は予測APIに細工されたPOSTを送信するか(またはペイロードをフロントエンドチャットウィジェットに埋め込むか)、overrideConfigボディを持つリクエストを送信して実行時にChainflowに設定を注入します。許可されたバリアブルを制限するホワイトリストがないため、vm2サンドボックスをエスケープしてOS レベルのRCEを実現し、内部サービスへのSSRFをトリガーし、サーバー側のバリアブルを流出させ、またはLLMチェーンに悪意あるプロンプトを注入できます。
影響を受けるシステム
Flowise < 2.1.4
緩和策
Flowise 2.1.4以降にアップグレードしてください。アドバイザリ:https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-5cph-wvm9-45gj