何が起きたか
Flowiseバージョン2.2.7-patch.1までには、ローカルMCPサーバーを起動するためにOSコマンドを実行するよう設計されたCustom MCP機能に非サンドボックスRCE脆弱性が含まれています。Flowiseの認証モデルが最小限であり、認証がデフォルトで無効になっているため、認証されていない攻撃者は内部リクエストヘッダーなりすまし、Flowiseプロセスの権限で実行される任意のOSコマンドを提供でき、コンテナ全体の侵害を実現できます。
なぜ重要か
Flowiseは広く展開されている、コードなしのLLM/エージェントオーケストレーションプラットフォームです。MCP機能は信頼された地元での使用を目的としていますが、サンドボックス化なしでOSコマンド実行への直接パスを露出しています。認証されていない悪用は、ネットワークに到達可能なFlowiseインスタンスはすべて完全なRCEターゲットであることを意味します — 攻撃者は埋め込まれたすべてのAPIキー、モデル構成、エージェントツール認証情報を流出させたり、接続されたサービスにピボットしたりできます。
攻撃経路
攻撃者は、ヘッダー「x-request-from: internal」を含む細工されたJSONペイロードを/api/v1/node-load-method/customMCPエンドポイントに送信します。認証情報は不要です。Custom MCP機能はサンドボックス化なしでOSコマンドを直接実行し、コンテナ/サーバー全体の侵害をもたらします。
影響を受けるシステム
Flowise ≤ 2.2.7-patch.1(3.0.6で修正)
緩和策
Flowise 3.0.6にアップグレードしてください。アドバイザリ:https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-6933-jpx5-q87q