Flowise RCE CVE-2025-59528 脆弱性まとめ|CVSS 10.0・AI Agent Builder 12,000+公開インスタンスへの攻撃徹底解説
この記事のポイント
オープンソースのAIエージェント構築プラットフォーム「Flowise」にCVSS 10.0の最大深刻度RCE脆弱性 CVE-2025-59528 が見つかりました。12,000インスタンス以上が公開状態のまま、2026年4月から実地攻撃が観測されています。影響範囲・修正版・今すぐやるべき対策まで、公式情報を基に日本語で整理します。
CVE-2025-59528 は、オープンソースのAIエージェント構築プラットフォーム「Flowise」に存在するCVSS 10.0(最大深刻度)のリモートコード実行(RCE)脆弱性です。 認証なしで任意のOSコマンドを実行でき、2026年4月から実地攻撃が観測されています。修正版は Flowise 3.0.6 以降(推奨は 3.1.1以上)で、現時点でも 12,000〜15,000台の公開インスタンス が未パッチのまま放置されていると報告されています。
本記事では、CVE-2025-59528 の概要、影響範囲、技術的な仕組み、実地攻撃の状況、そして「自社環境が安全かを30分以内に確認する手順」までを、GitHub Security Advisory・NVD・Flowiseの公式パッチコミット・VulnCheck/SonicWall/Cloud Security Alliance の一次分析を基に整理しました。
この記事を読むと以下がわかります。
- CVE-2025-59528 が「CVSS 10.0」と評価された技術的な根拠
- 自社のFlowiseが脆弱バージョンかを確認する具体的なコマンド
- パッチ以外に今すぐできる緩和策(公開停止・認証情報ローテーション等)
- 侵害された場合の痕跡(IoC)と監査ログの検索パターン
- MCP(Model Context Protocol)採用が進むAIエージェント全体の構造的なセキュリティ課題
対象読者:
- Flowiseをセルフホストで運用している開発者・SRE・情報システム担当者
- AIエージェント基盤の導入検討中で、セキュリティ要件を整理したい企業
- MCPサーバー・LLMオーケストレーションツールのリスク全般を把握しておきたい情報セキュリティ担当者
結論:今すぐやるべき3つのこと
Flowiseを運用している場合、以下を最優先で実施してください。
- Flowise 3.1.1以上へのアップグレード(最低でも 3.0.6)
- インターネット直接公開の停止(リバースプロキシ・VPN・内部ネットワーク限定化)
- APIキー・認証情報・環境変数の全面ローテーション(侵害されている前提で対応)
パッチ公開から半年以上が経過していますが、2026年4月7日にVulnCheckが実地攻撃を初検知しました。攻撃は認証不要で、JavaScriptの Function() コンストラクタ経由で任意コードが実行されます。Flowiseそのものを直接運用していない場合でも、組織内の誰かが評価目的で立ち上げているケースは珍しくないため、社内ネットワーク全体で公開ポート3000番台にFlowiseが存在しないかをあわせて確認することを推奨します。
Flowiseとは何か
Flowise は、LangChainJSベースのオープンソース(MIT License)AIエージェント・ビジュアルビルダーです。ノードをドラッグ&ドロップで接続するだけで、チャットボット・RAG(検索拡張生成)アプリ・マルチエージェントシステムを構築できます。2024年には人事クラウド大手 Workday に買収され、商用クラウド版も提供されています。
主な特徴は次のとおりです。
- Agentflow — 複数エージェントを調整するマルチエージェント基盤
- Chatflow — ツール呼び出し・RAG対応チャットボット
- HITL(Human In the Loop) — 人的レビュー工程の組み込み
- API / SDK — REST API、埋め込みウィジェット、TypeScript / Python SDK
- 対応LLM・ベクトルDB — OpenAI、Anthropic、Pinecone、Qdrant 等100以上
インストールは npm install -g flowise → npx flowise start だけで完了するため、PoC用途で立ち上げられることが多く、そのまま本番に残っているケースが今回の攻撃面を広げた一因になっています。
Flowiseの料金プラン(公式クラウド版)
プラン | 料金 | フロー数 | 予測数/月 | 主な用途 |
|---|---|---|---|---|
Free | $0 | 2 | 100 | 評価・試用 |
Starter | $35/月 | 無制限 | 10,000 | 個人・小規模 |
Pro | $65/月 | 無制限 | 50,000 | 複数ユーザー対応 |
Enterprise | 要問合せ | 無制限 | カスタム | SSO/JWT、オンプレ対応 |
本脆弱性の主な影響範囲は オープンソース版(セルフホスト/Docker/npm install)です。クラウド版(マネージド版)に対する公式の影響声明は現時点で確認できていないため、クラウド利用者は Flowise サポートに直接確認することを推奨します。
関連記事: AIエージェントとは / MCPとは(Model Context Protocol)
CVE-2025-59528 の概要(公式情報)
CVE-2025-59528 は、Flowiseの CustomMCP ノード内で、ユーザー入力が JavaScriptの Function() コンストラクタ経由で検証なしに実行される 設計欠陥に起因するRCE脆弱性です。
項目 | 内容 |
|---|---|
CVE ID | CVE-2025-59528 |
GHSA ID | GHSA-3gcm-f6qx-ff7p |
CWE | CWE-94(生成コードの不適切な制御) |
CVSS v3.1 ベーススコア | 10.0(Critical) |
CVSS Vector |
|
EPSS(活用確率) | 約83〜84%(99パーセンタイル) |
公開日 | 2025年9月13日(GitHub Advisory)/9月22日(NVD) |
報告者 | im-soohyun |
影響バージョン | 2.2.7-patch.1 〜 3.0.5 |
修正バージョン | 3.0.6(推奨は 3.1.1 以上) |
CVSS 10.0 が意味すること
CVSSベーススコア10.0は、CVSS v3.1で評価可能な最大値です。具体的には次の条件がすべて揃っています。
- ネットワーク経由で攻撃可能(AV:N)
- 攻撃の複雑度が低い(AC:L)— 特別な条件が不要
- 必要な権限がない(PR:N)— 認証不要
- ユーザー操作が不要(UI:N)— クリックや承認を挟まない
- スコープが変更される(S:C)— 脆弱なコンポーネントを超えて影響が広がる
- 機密性・完全性・可用性すべて高影響(C:H / I:H / A:H)
加えて EPSS(Exploit Prediction Scoring System)が 99パーセンタイル に位置しており、これは「今後30日以内に実際に悪用される可能性が非常に高い」CVE群と同等の危険度を示します。
公式アドバイザリ
脆弱性の技術的な仕組み
本脆弱性の根本原因は、CustomMCP.ts の convertToValidJSONString 関数(262〜270行付近)にあります。ユーザーが送信したJSON風の文字列を Function('return ' + input)() という形式で実行しており、これは eval() と機能的に等価です。
攻撃経路
攻撃者は次のAPIエンドポイントに、細工したJSONをPOSTするだけで任意コードを実行できます。
- エンドポイント:
POST /api/v1/node-load-method/customMCP - 認証: 事実上不要(APIキー未設定でも悪用可能)
- 前提: ネットワーク到達性のみ
処理の流れは次のとおりです。
- 攻撃者が
mcpServerConfigフィールドに悪意のあるJavaScriptを含むJSONを送信 substituteVariablesInStringがテンプレート変数を置換(サニタイズなし)convertToValidJSONStringが文字列をFunction()に渡して実行- Node.js の実行権限で
child_process.execSyncによる任意のOSコマンド実行 が成立
パッチの修正内容
Flowise 3.0.6 で適用されたパッチ(コミット 4af067a)では、以下のように修正されています。
// 脆弱な実装(3.0.5以前)
Function('return ' + mcpServerConfig)()
// 修正後(3.0.6以降)
JSON5.parse(mcpServerConfig)
Function() が「文字列をコードとして実行する」のに対し、JSON5.parse() は 入力をデータとして解釈するだけで実行しないため、コードインジェクションの経路が閉じられています。
なぜ Function() は危険なのか
eval() と並んで、JavaScriptの Function() コンストラクタは任意の文字列をコードとして実行する機能を持ちます。Node.jsサーバー上でユーザー入力を Function() に渡すと、攻撃者は require('child_process').execSync('...') のような一行で、サーバー上の任意のOSコマンドを実行できてしまいます。これは「RCE(Remote Code Execution)」の教科書的なパターンです。
関連記事: AIコーディング セキュリティ リスク / AIエージェント セキュリティ 対策
影響を受けるバージョンと修正版
脆弱バージョン
- Flowise 2.2.7-patch.1 〜 3.0.5
修正バージョン
- Flowise 3.0.6(2025年9月リリース) — 本CVEを直接修正
- Flowise 3.1.1 以上(推奨) — 関連する追加修正を含む
回避策の限界
「CustomMCPノードを使っていないから安全」ではありません。理由は以下です。
- CustomMCPノードの実装は ビルド時点で必ずコードベースに含まれる
- APIエンドポイントは機能を使っているかに関わらず到達可能
- APIキー認証を有効化しただけでは 完全な緩和にはならない(公式はパッチ適用を推奨)
- WAFでの防御も困難(正規リクエストと攻撃リクエストの構造が酷似)
現時点では、アップグレード以外に確実な緩和策は存在しないという前提で運用設計することを強く推奨します。
実地攻撃の状況(2026年4月時点)
公開から半年以上が経過した2026年4月、VulnCheck が実地攻撃を初検知しました。以下は現時点で公表されている観測データです。
タイムライン
日付 | イベント |
|---|---|
2025年9月13日 | GitHub Security Advisory 公開 |
2025年9月(中旬) | Flowise 3.0.6 リリース(修正版) |
2025年9月22日 | NVD公式公開 |
2026年3月11日 | SentinelOne脆弱性DB登録 |
2026年4月7日 | VulnCheck Canaryネットワークが実地攻撃を初観測 |
2026年4月8〜9日 | The Hacker News・BleepingComputer・SecurityWeek が大々的に報道 |
2026年4月(現在) | 12,000〜15,000台のインスタンスが依然として公開状態 |
攻撃元の特徴
- 単一のStarlink IPアドレス から攻撃が観測された(VulnCheck報告)
- 攻撃活動は現時点では「限定的」と評価されているが、パッチ公開から6か月以上経過している点が最大の懸念
- VulnCheck は顧客向けに exploit サンプルと YARA ルールを限定提供
観測されている悪用パターン(SonicWall / Cloud Security Alliance)
- システム情報の偵察(
id、whoami、hostname等のコマンド実行) - 環境変数から LLM APIキー・DBパスワード・クラウド認証情報 を窃取
netcat/bashによるリバースシェルの確立- 盗取された認証情報を使った横展開(Lateral Movement)
- AIモデル設定・学習データ・会話ログ・プロンプトの流出
- LLM APIキー悪用によるコスト流出・悪質な生成物の作成
AI基盤ならではの被害として、LLM APIキーが流出するとクラウド課金が短時間で膨張するリスクもあります。単なる「サーバー侵害」ではなく、事業影響まで含めた対応が必要です。
IPS/WAF検知
- SonicWall IPSシグネチャ 21519 / 21918 で検出・ブロック対応
自社環境が脆弱か30分以内に確認する手順
以下の順番で確認してください。影響のあるバージョンを運用している可能性がある全組織で推奨します。
1. インストールされたFlowiseのバージョン確認
# グローバルインストールの場合
npm list -g flowise
# プロジェクト内インストールの場合
npm list flowise
# 起動中のバージョン確認(APIエンドポイント)
curl -s http://<your-host>:3000/api/v1/version
3.0.5 以下なら脆弱です。直ちにアップグレード手順に進んでください。
2. 公開状況の確認
# 外部から3000番ポートが見えていないか
curl -I http://<your-public-ip>:3000/
# 応答が返ってくる場合、インターネットに公開されている
SHODAN / Censys などの外部スキャンサービスで、自組織のIPレンジに Flowise らしきバナー(Flowise node Express)が出ていないかの確認も有効です。
3. アクセスログの監査
2025年9月以降のログから、以下のパターンを検索してください。
# 異常なPOSTリクエストの抽出
grep -E "POST.*/api/v1/node-load-method/customMCP" access.log
# ペイロード内の危険キーワード検知
grep -Ei "process\.mainModule|child_process|execSync|\brequire\b|reverse.*shell" application.log
# Function() 経由の実行痕跡
grep -E "Function\(.*return" application.log
1件でもヒットした場合、すでに侵害されている前提でインシデントレスポンスに移行してください。
4. 侵害痕跡(IoC)の確認
/tmp配下に不審なファイル(RCE.txt、.sh、.binなど)がないかcrontab -lに覚えのないスケジュールジョブがないか/etc/passwdに不明なユーザーが追加されていないか- 環境変数
.envファイルのAPIキーが外部で使われた形跡がないか(各LLMプロバイダの使用量監視) - 不審な送信方向の通信(外部IPへの長時間のTCP接続)がないか
今すぐ実施すべき対策(優先度順)
優先度1:パッチ適用
# npmでのアップグレード
npm install -g flowise@latest
# または明示的に
npm install -g flowise@3.1.1
# Dockerの場合
docker pull flowiseai/flowise:latest
docker-compose pull && docker-compose up -d
アップグレード後、必ず curl http://localhost:3000/api/v1/version で実際に 3.1.1 以上が動作していることを確認してください。
優先度2:公開の停止
- インターネット直接公開(3000番ポートのグローバル公開)を停止
- リバースプロキシ(Nginx / Cloudflare / AWS ALB)経由に統一
- 可能ならVPN / 内部ネットワーク限定アクセスに変更
- Cloud Run / Fargate 等で運用する場合は IAM 認証を必須化
優先度3:認証情報の全面ローテーション
2025年9月以降にアクセスログで不審な痕跡がなくとも、念のため以下をすべて再発行することを推奨します。
- Flowise 内の API Key / Bearer Token
- Flowise から呼び出している LLM プロバイダ(OpenAI / Anthropic / Google 等)のAPIキー
- ベクトルDB(Pinecone / Qdrant / Weaviate 等)のAPIキー
- データソース(DB / SaaS)の認証情報
- Flowiseサーバー自体のSSHキー・OSユーザーパスワード
優先度4:継続監視
/api/v1/node-load-method/配下のPOSTアクセスを SIEM で継続監視- SonicWall IPS シグネチャ 21519 / 21918 を活用(WAF/IPS利用時)
- 脆弱性管理プログラム(SBOM管理含む)にFlowiseを登録
MCPエコシステム全体の構造的リスク
Cloud Security Alliance は、「CVE-2025-59528 はFlowise固有の問題ではなく、MCPサーバー設定が実行可能形式で受け入れられてしまうAIエージェント生態系全体の新たな攻撃面である」と指摘しています。
なぜMCP採用の拡大がリスクを高めるか
MCP(Model Context Protocol) は、LLMと外部ツール・データソースを安全に接続するための標準プロトコルとしてAnthropicを中心に急速に普及しました。MCPサーバーの設定ファイルは「どのコマンドを、どの引数で起動するか」という 実行可能な指示 を含むことが多く、ここに信頼できない入力が混入すると、そのまま任意コード実行につながります。
同様のリスクは、MCPを採用しているビジュアルAIエージェントビルダー全般(Dify・LangFlow・n8nなど)に波及する可能性があります。本CVEはその最初の大規模実例として位置付けるのが妥当です。
実装観点での教訓
- MCPサーバー設定を「データ」ではなく「コード」として扱う実装は全部危険
- ユーザー入力は常に
JSON5.parse等の データパース関数 で扱う eval()/Function()/vm.runInThisContextの類はユーザー入力に触れさせない- OSコマンドが実行可能な環境では、プロセス権限の最小化(非rootユーザー・読み取り専用ファイルシステム・seccomp)を併用
関連記事: 生成AI セキュリティ リスク / AIコーディング セキュリティ リスク
こんな組織は特に要注意
Flowiseは導入が容易なため、公式のIT部門が把握していないインスタンスが組織内に存在している可能性があります。以下に該当する組織は、棚卸しを最優先で実施してください。
- AI活用のPoCを複数部署で並行実施している企業 — 評価用インスタンスがそのまま残っているリスク
- 開発者が自由にEC2/GCEインスタンスを立てられる環境 — シャドーITとしてのFlowise稼働
- データサイエンティスト・MLエンジニアが多い組織 — 個人の検証用環境が本番データと同一VPCにある
- MCPサーバーを多用しているAIエージェント基盤を運用中 — 他の類似脆弱性の早期発見が必要
- 社内RAG・チャットボットをノーコードで構築する方針 — 類似ツール全般で棚卸しを推奨
一方、以下のような組織・ケースでは今回のCVE単体の緊急性は相対的に低い可能性があります。
- Flowiseを完全に内部ネットワーク限定で運用しており、信頼できるユーザーしか到達できない
- MCP機能を使わない前提で固定バージョンを運用しており、かつ自動アップデートの仕組みがある
- 商用クラウド版(マネージド)のみを利用しており、Workday側の通知を受けられている
ただし、「今すぐ侵害されていない」ことと「対策不要」は別問題です。現在未パッチで運用しているなら、本番・検証を問わずアップグレードを実施してください。
FAQ
Q1. APIキー認証を有効化していれば攻撃されない?
いいえ。 APIキー認証は緩和策の一つにはなりますが、公式は「完全な緩和ではない」と明言しています。APIキー未設定のインスタンスは無認証で悪用され、設定済みでも経路次第で到達できるケースが報告されています。パッチ適用が唯一の確実な対策です。
Q2. CustomMCPノードを使っていないのに影響を受ける?
はい。 CustomMCPノードを使用していなくても、コード自体がビルドに含まれているため、該当APIエンドポイントは到達可能です。機能利用の有無ではなく、バージョン番号 で判断してください。
Q3. 3.0.6 と 3.1.1、どちらにアップグレードすべき?
原則として最新の 3.1.1 以上を推奨します。 3.0.6 は本CVEを直接修正しますが、3.1.1 以上には関連する追加修正が含まれるとされています。運用の安定性を重視する場合でも、サポート期間・セキュリティ更新頻度の観点から最新版が有利です。
Q4. クラウド版(Flowise Cloud)は影響を受ける?
公式の明示的な声明は現時点で確認できていません。 一般的にマネージド版はベンダー側でパッチ適用されますが、念のため Flowise サポートに直接問い合わせて確認することを推奨します。オンプレ・セルフホスト版は確実に影響を受けます。
Q5. 既に侵害されていた場合、法的な報告義務はある?
個人情報が関与している場合、日本の個人情報保護法では「漏えい等の報告義務」が発生する可能性があります。また、EU利用者のデータを扱う場合は GDPR、米国カリフォルニア州は CCPA 等の各地域法令も確認が必要です。不確実な場合は法務・プライバシー責任者と IPA / JPCERT/CC への相談を推奨します。
Q6. 脆弱性スキャナで検知できる?
検知可能です。 バージョン検知ベースのスキャナ(Nessus、Qualys、Trivy、Grype等)は既にCVE-2025-59528をカバーしています。社内の脆弱性管理プログラムに Flowise のSBOMが登録されているか確認してください。
Q7. 他のAIエージェントビルダー(Dify、LangFlowなど)も危険?
同種の設計リスクは理論上存在し得ます。 ただし、同一CVEは他製品には適用されません。各製品のセキュリティアドバイザリを定期確認し、MCPサーバー設定の入力検証がどう実装されているかを確認することを推奨します。
まとめ
CVE-2025-59528 は、AIエージェント領域で初めて本格的な実地攻撃が観測された CVSS 10.0 のRCE脆弱性 です。Flowise 3.1.1 以上への即時アップグレードが唯一の確実な対策であり、加えて「インターネット直接公開の停止」と「認証情報の全面ローテーション」を今日中に実施することを強く推奨します。
本CVEは「パッチ公開から実地攻撃まで半年以上のタイムラグが発生した事例」でもあります。CVEが古いほど攻撃ツールキットが成熟し、悪用ハードルが下がるという基本原則を再確認する機会としても重要です。AIエージェント基盤はLLM APIキー・個人情報・社内ドキュメントと接続されるため、侵害時の影響範囲が従来のWebアプリよりも広いことも忘れてはいけません。
本記事で整理した確認手順とチェックリストを使って、24時間以内に「自社に影響があるか」を判断し、該当する場合は48時間以内にパッチ適用を完了してください。
次に読むべき関連記事
- MCPとは(Model Context Protocol) — 本CVEの背景となる標準プロトコルの全体像
- AIエージェントとは — Flowiseが属するカテゴリの基礎解説
- AIエージェント セキュリティ 対策 — AIエージェント運用全般のセキュリティ設計
- 生成AI セキュリティ リスク — LLM/生成AIに共通するリスクと対策
- AIコーディング セキュリティ リスク — コード生成・自動実行系の固有リスク
参考資料(一次情報)
- GitHub Security Advisory GHSA-3gcm-f6qx-ff7p
- NVD: CVE-2025-59528
- Flowise公式サイト
- Flowise GitHub リポジトリ
- SonicWall: FlowiseAI Custom MCP Node Remote Code Execution
- Cloud Security Alliance: Flowise MCP RCE Exploitation
- The Hacker News: Flowise AI Agent Builder Under Active Attack
- BleepingComputer: Max Severity Flowise RCE Vulnerability Now Exploited
この記事の著者
AI革命
編集部
AI革命株式会社の編集部です。最新のAI技術動向から実践的な導入事例まで、企業のデジタル変革に役立つ情報をお届けしています。豊富な経験と専門知識を活かし、読者の皆様にとって価値のあるコンテンツを制作しています。
最新記事
Xiaomi MiMo V2.5 / MiMo-V2.5-Pro とは|1T MoE・1Mコンテキスト・ClawEval 64% Pass^3を徹底解説
2026/04/25
Mozilla Thunderboltとは?OSS・セルフホスト型AIクライアントの特徴・料金・使い方を解説
2026/04/24
Claude Cyber Verification Program(CVP)とは|Opus 4.7セーフガード解除の申請ガイド
2026/04/24
DeepSeek V4 vs GPT-5.5 Spud 徹底比較【2026年4月最新】性能・料金・セキュリティで選ぶフラッグシップAI
2026/04/24
Claude Code 品質劣化の真相|Anthropic公式ポストモーテムで判明した3つの原因と今やるべきこと
2026/04/24
Claude Code MCPの使い方|Claude Code自体をMCPサーバーとして動かす「エージェントの中のエージェント」構成ガイド
2026/04/24
