CRITICALCVE-2024-9148CVSS 9.6

Flowise および Flowise Chat Embed に Stored Cross-Site Scripting の脆弱性があります

プラットフォーム

nodejs

コンポーネント

flowise-embed

修正版

2.1.1

2.0.0

AI Confidence: highNVDEPSS 1.9%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-9148は、flowise-embedのバージョン2.1.1未満に存在するStored Cross-Site Scripting (XSS)脆弱性です。この脆弱性は、Flowise Chat Embed 2.0.0未満において、入力のサニタイズ処理が不十分であるために発生します。攻撃者は悪意のあるスクリプトを保存し、他のユーザーがそのスクリプトを実行させることが可能です。影響を受けるバージョンはflowise-embed 2.1.1未満です。バージョン2.0.0へのアップデートで修正されています。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者はユーザーのブラウザ上で任意のJavaScriptコードを実行できます。これにより、機密情報の窃取（Cookie、セッション情報など）、ユーザーを悪意のあるWebサイトにリダイレクト、またはWebサイトの見た目を改ざんすることが可能になります。特に、Flowise Chat Embedを公開されている環境で使用している場合、広範囲なユーザーが影響を受ける可能性があります。攻撃者は、ユーザーがFlowise Chat Embedとやり取りする際に、悪意のあるスクリプトを注入し、そのスクリプトが実行されることで、ユーザーの情報を盗み出す、またはシステムを制御する可能性があります。

悪用の状況

この脆弱性は、2024年9月25日に公開されました。現時点では、公開されているProof of Concept (PoC) は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。CISA KEVカタログへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認してください。

リスク対象者翻訳中…

Websites and applications that integrate Flowise Chat Embed versions prior to 2.0.0 are at risk. This includes developers who have directly included the package in their projects, as well as users of platforms or services that utilize Flowise Chat Embed without proper security controls. Shared hosting environments where multiple websites share the same server infrastructure are particularly vulnerable, as a compromise of one website could potentially affect others.

検出手順翻訳中…

• nodejs / supply-chain:

  npm list flowise-embed

If the version is less than 2.1.1, the system is vulnerable. • generic web: Inspect the Flowise Chat Embed integration for any unusual JavaScript behavior or unexpected redirects. Examine the source code for any user-controlled input that is not properly sanitized before being rendered. • generic web: Review access logs for suspicious requests containing JavaScript payloads targeting the chat embed functionality.

攻撃タイムライン

2024-09-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.93% (83% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントflowise-embed

ベンダーosv

影響範囲修正版

0.0.0 – 2.0.02.1.1

—2.0.0

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2024-09-24
公開日2024-09-25
更新日2024-09-30
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への主な対策は、flowise-embedをバージョン2.0.0以降にアップデートすることです。アップデートが困難な場合は、入力値のサニタイズ処理を実装するか、Web Application Firewall (WAF) を導入して、悪意のあるスクリプトの実行をブロックすることを検討してください。また、Flowise Chat Embedを使用しているWebアプリケーションのアクセス制御を強化し、不正なアクセスを防止することも重要です。アップデート後、Flowise Chat Embedの動作を確認し、XSS攻撃が発生していないことを確認してください。

修正方法

Flowise をバージョン 2.1.1 以降にアップデートしてください。このバージョンには、Stored XSS 脆弱性に対する修正が含まれています。将来の攻撃を防ぐために、すべてのユーザー入力を検証およびサニタイズするようにしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-9148 — XSS in flowise-embedとは何ですか？

CVE-2024-9148は、flowise-embedのバージョン2.1.1未満に存在するStored Cross-Site Scripting (XSS)脆弱性です。入力のサニタイズ処理の欠如が原因で、悪意のあるスクリプトが実行される可能性があります。

CVE-2024-9148 in flowise-embedに影響を受けますか？

flowise-embedのバージョンが2.1.1未満である場合、この脆弱性に影響を受けます。バージョン2.0.0以降にアップデートすることで、脆弱性を解消できます。

CVE-2024-9148 in flowise-embedを修正するにはどうすればよいですか？

flowise-embedをバージョン2.0.0以降にアップデートしてください。アップデートが困難な場合は、WAFの導入や入力値のサニタイズ処理を検討してください。

CVE-2024-9148は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。

CVE-2024-9148に関するflowise-embedの公式アドバイザリはどこで入手できますか？

flowise-embedの公式アドバイザリは、flowiseのWebサイトまたはGitHubリポジトリで確認できます。