本稿では、オープンソースのAIエージェントビルダーFlowiseに存在する最大深刻度の脆弱性CVE-2025-59528について、技術的な背景と実務上の対処を解説します。GitHub Security Advisoryでは本件をCVSS 3.1ベース10.0(Critical)としており、修正版3.0.6が提供されています。2026年4月7日には、The Hacker NewsがVulnCheckの新たな観測として本脆弱性の悪用活動を報じ、VulnCheck幹部のCaitlin Condon氏もLinkedIn上で初回の悪用検知に言及しました。
脆弱性の概要
CVE-2025-59528は、FlowiseAI FlowiseのCustomMCPノードにおけるコードインジェクション脆弱性です。CVSS 3.1ベーススコアは10.0(Critical)、CWE-94(Improper Control of Generation of Code)に分類されます。GitHub Security AdvisoryのGHSA-3gcm-f6qx-ff7pで2025年9月に公開され、発見者はKim SooHyun(@im-soohyun)氏です。
影響範囲については表現に注意が必要です。ベンダー公式のGitHub Security Advisoryは、影響対象をFlowise 3.0.5、修正版を3.0.6としています。一方、SonicWall Capture Labsは同じ欠陥が2.2.7-patch.1以上3.0.6未満で悪用可能だったと分析しています。実務上は、少なくとも3.0.5は確実に影響対象であり、SonicWallの分析を踏まえると、それ以前の系統を含めて3.0.6未満の運用環境を点検対象にするのが妥当でしょう。
Flowiseとは
Flowiseは、ドラッグ&ドロップ式のビジュアルインターフェースでLLMアプリケーションやAIエージェントを構築できるオープンソースプラットフォームです。GitHub上で5万超のスターを獲得している人気プロジェクトで、RAG(Retrieval Augmented Generation)チャットボット、マルチエージェントシステム、ワークフロー自動化などのユースケースで利用されており、ノーコードでLLMアプリを開発したい組織から個人開発者まで幅広く使われています。
脆弱性の技術詳細
問題はFlowiseのCustomMCPノードにあります。CustomMCPノードは、外部のMCP(Model Context Protocol)サーバーへの接続設定をユーザーが入力するためのコンポーネントです。Flowiseの公式アドバイザリによると、このノードはユーザー提供のmcpServerConfig文字列をパースしてMCPサーバー構成を構築する際、「セキュリティ検証なしにJavaScriptコードを実行する」とされています。
具体的には、convertToValidJSONString関数がFunction()コンストラクタを使用してユーザー入力を評価しており、これがコードインジェクションの根本原因となっています。攻撃者はこのコールを介して任意のJavaScriptコードを実行でき、Node.jsランタイムの全権限で動作するため、child_process(コマンド実行)やfs(ファイルシステムアクセス)などの危険なモジュールにもアクセス可能です。
攻撃の前提条件
SonicWall Capture Labsの分析によると、攻撃成立の条件は以下のとおりです。
第一に、Flowise 2.2.7-patch.1から3.0.6未満が稼働していること。第二に、攻撃者がFlowise APIエンドポイント/api/v1/node-load-method/customMCP(通常はポート3000)にネットワークアクセスできること。第三に、CustomMCPノードコンポーネントがコンポーネントプールにロードされていること(標準インストールではデフォルトで含まれます)。第四に、JSONボディを含むHTTP POSTリクエストを送信できることです。
重要な点は、認証が不要であることです。FlowiseはオプションでAPIキー認証をサポートしていますが、認証が設定されていないデプロイメントでは完全な未認証悪用が成立します。VulnCheckの調査によると、Flowise 2.2.7-patch.1から3.0.0までのバージョンはデフォルトで認証が無効であり、この系統では特に攻撃が容易でした。なお、3.0.1以降の認証デフォルトの扱いについては一次ソースで明示的な確認が取れていないため、運用環境では認証設定を実際に確認する必要があります。
野生での悪用 ― 出典と時点の整理
Flowise CVE-2025-59528の悪用観測については、出典と時点を整理しておく必要があります。
VulnCheckが2026年3月6日に公開したInitial Access Intelligenceの記事では、本脆弱性に対する野生悪用は当時まだ検知されていないとされていましたが、過去のFlowise脆弱性(CVE-2025-8943、CVE-2025-26319)はVulnCheckのカナリーで野生悪用が確認済みである旨が言及されていました。露出規模については、同記事のFOFAクエリで約1万6,000のFlowiseインスタンスが公開アクセス可能と報告されていました。
その後、2026年4月7日にThe Hacker NewsがVulnCheckの新たな観測として、本脆弱性の悪用活動を報じました。VulnCheck幹部のCaitlin Condon氏もLinkedIn上で初回の悪用検知に言及しています。同報道では、悪用の発生源は単一のStarlink IPアドレスからとされており、現時点では特定のアクター帰属は行われていません。露出台数については4月7日時点で1万2,000超と報じられています。
Condon氏は、「これはAIプラットフォームの中でも多くの大企業に使用されている人気プロダクトのCriticalバグである。この脆弱性は半年以上前に公開されており、防御側はパッチ適用を優先する時間が十分にあった。インターネットに露出している1万2,000以上のインスタンスという攻撃面の広さが、観測されているアクティブなスキャンと悪用試行をより深刻にしている」と述べています。
EPSS(Exploit Prediction Scoring System)スコアは84.07%(99.28パーセンタイル)に達しており、近い将来の悪用確率が極めて高い水準にあります。SonicWallはCVE-2025-59528がCISA KEVカタログ入りの追跡対象になっていることも報告しています。
過去のFlowise脆弱性との位置づけ
CVE-2025-59528は、野生での悪用が確認されたFlowise脆弱性として3件目です。過去の事例は以下のとおりです。
- CVE-2025-8943(CVSS 9.8)― OSコマンドリモートコード実行
- CVE-2025-26319(CVSS 9.8)― 任意ファイルアップロード
いずれもVulnCheckのカナリーで野生悪用が検知されており、FlowiseがAIエージェントビルダーとして攻撃者から継続的に標的とされていることを示しています。
AIエージェントビルダー全体の構造的問題
Flowiseの脆弱性は単独の問題ではありません。同種のAIワークフロー構築プラットフォームでも類似の重大脆弱性が相次いでいます。
Langflowでは2026年3月、未認証RCE脆弱性CVE-2026-33017が公開されました。Source(GitHub, Inc.)が付与したCVSS 4.0スコアは9.3で、NVD自身の評価は現時点で未提供(Awaiting Analysis)です。Sysdig Threat Research Teamの観測によると、公開からおよそ20時間以内にスキャンが開始され、24時間後には.envファイルやデータベース認証情報を狙ったデータ窃取が始まりました。CISAも本脆弱性をKEVカタログに追加しています。
n8nでは2026年1月にCVSS 10.0の脆弱性が公開され、インスタンスの完全奪取が可能でした。本ブログで先日取り上げたOpenClawのCVE-2026-33579(権限昇格脆弱性)も、AIエージェントフレームワークにおける認可不備という同種の構造問題を示しています。
これらのプラットフォームは「ビジュアルワークフロー構築」と「サーバーサイドコード実行」を設計プリミティブとしている点が共通しており、サンドボックス化やコンテナ分離が不十分な場合、ネットワーク到達可能なエンドポイントから直接コード実行に至る経路が生まれやすくなります。
対処手順
Flowiseを運用している組織・個人は、以下の対応を行う必要があります。
まず、Flowiseを3.0.6以降にアップグレードします。これは公式パッチであり、Function()コールをセキュアな実装に置き換える修正が含まれています。アップグレードが即座に困難な場合は、Flowiseインスタンスをパブリックインターネットから隔離し、信頼されたネットワークのみからのアクセスに制限してください。
追加の防御策として、APIキー認証を有効化し、デフォルトで認証なしの状態で運用しないことが重要です。Webアプリケーションファイアウォール(WAF)でFlowiseエンドポイントへの不審なペイロードを検知・ブロックする設定も有効です。
侵害が疑われる場合は、Flowiseインスタンスからアクセス可能だったAPIキー、データベース認証情報、クラウドシークレットをすべてローテーションし、ファイルシステムの完全性監査を実施してください。プロダクション環境でFlowiseが昇格された権限で動作している場合や、より広範なAI自動化パイプラインに統合されている場合、攻撃者がそこから他のシステムへピボットしている可能性があります。
実務視点 ― 「半年経ってもパッチ未適用」が示すもの
CVE-2025-59528が示す最も実務的な教訓は、技術的な脆弱性そのものよりも、半年以上経過しても1万2,000以上のインスタンスが露出したまま放置されている運用実態にあります。AIエージェントビルダーやノーコードAIプラットフォームは、ノンセキュリティ専門家でも導入できる手軽さが普及の原動力ですが、その同じ手軽さがパッチ管理プロセスの欠如を生んでいます。
組織のセキュリティチームにとっての論点は2つあります。第一に、Flowise・Langflow・n8n・OpenClawといったAIエージェント関連プラットフォームが組織内で無許可で稼働していないかの可視化です。これらは多くの場合、開発者が個人的に試したものがそのまま残っているケースがあり、シャドーITとして検知されにくいのが実情です。第二に、AI関連OSSのCVE監視を通常のパッチ管理プロセスに組み込むことです。
AIエージェントビルダーが本質的に「APIキー、データベース認証情報、クラウドシークレット、LLMプロバイダトークン」を保持する高特権の実行環境であることを踏まえると、侵害された場合の爆発半径は通常のWebアプリケーションよりはるかに大きくなります。今回の攻撃はその警鐘と言えるでしょう。
コメント