何が起きたか
Flowise 3.1.2より前では、Custom MCP Server機能に複数のOSコマンド挿入の脆弱性が含まれています。不完全なコマンドフラグ検証とローカルファイルアクセス制限regexのバイパスにより、任意の認証Flowiseユーザー(任意のロール)またはビュー/更新権限を持つAPIユーザーがサーバーで実行される任意のOSコマンドを挿入できます。CVSS 9.9 Critical(2026-06-23公開)。
なぜ重要か
Flowiseは広く使用されているno-code LLMエージェントビルダーです。MCP統合は主要なユースケースです。つまり、任意のローレベルのFlowiseアカウント保有者(API統合を含む)がMCP機能を通じてフルサーバーRCEを達成でき、基盤となるホスト、保存されたすべてのクレデンシャル、接続されたデータソース、エージェントツールアクセスを危険にさらします。
攻撃経路
細工されたコマンドフラグまたはregexバイパスペイロードを使用してCustom MCP Server設定エンドポイントへの認証HTTPリクエスト。OSコマンドがFlowiseサーバープロセスで実行されます
影響を受けるシステム
Flowise < 3.1.2
緩和策
Flowise 3.1.2にアップグレードしてください。Advisory: https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-m99r-2hxc-cp3q