プラットフォーム
nodejs
コンポーネント
flowise
修正版
3.0.6
3.0.6
CVE-2025-59527は、Flowiseアプリケーションの/api/v1/fetch-linksエンドポイントに存在するサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。この脆弱性を悪用されると、攻撃者はFlowiseサーバーをプロキシとして利用し、内部ネットワークのWebサービスにアクセスし、そのリンク構造を探索することが可能になります。影響としては、機密性の高い内部管理エンドポイントへの露出が考えられます。この脆弱性はFlowiseのバージョン3.0.5以前に影響を与え、バージョン3.0.6で修正されました。
このSSRF脆弱性は、攻撃者がFlowiseサーバーを介して内部ネットワーク内のWebサービスに不正にアクセスすることを可能にします。攻撃者は、内部ネットワーク内の機密情報(データベース認証情報、APIキーなど)を盗み出す可能性があります。また、内部ネットワーク内の他のシステムへの攻撃の足がかりとして利用される可能性も否定できません。例えば、内部管理コンソールへのアクセスを試みたり、内部ネットワーク内の他の脆弱なサービスを探索したりすることが考えられます。この脆弱性の影響範囲は、Flowiseサーバーが内部ネットワークに接続されている範囲に限定されますが、内部ネットワーク内の重要なシステムが影響を受ける可能性があります。
この脆弱性は、2025年9月15日に公開されました。現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、早期に悪用される可能性があります。CISAのKEVカタログへの登録状況は不明です。NVDデータベースもまだ更新されていません。攻撃者は、この脆弱性を利用して、内部ネットワーク内の機密情報にアクセスし、さらなる攻撃を仕掛ける可能性があります。
Organizations deploying Flowise in environments with internal web services or APIs are at risk. Shared hosting environments where Flowise instances share the same network infrastructure are particularly vulnerable, as an attacker could potentially pivot from a compromised Flowise instance to other internal services. Legacy Flowise configurations that haven't been regularly updated are also at increased risk.
• nodejs: Monitor process execution for unusual outbound network connections originating from the Flowise process. Use ps aux | grep flowise to identify the process and then netstat -anp | grep <flowise_pid> to check connections.
• generic web: Examine access logs for requests to /api/v1/fetch-links with unusual or internal IP addresses in the URL. Use grep '/api/v1/fetch-links' access.log | grep <internal_ip>.
• generic web: Check response headers for signs of internal resource exposure. Look for headers that reveal internal server information or redirect to internal services.
disclosure
エクスプロイト状況
EPSS
0.13% (32% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、Flowiseをバージョン3.0.6にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、WAF(Web Application Firewall)を導入し、/api/v1/fetch-linksエンドポイントへの外部からのリクエストをブロックすることを検討してください。また、Flowiseの設定において、アクセス可能なURLの範囲を制限するなどの対策を講じることで、攻撃の影響を軽減できます。さらに、Flowiseサーバーのログを監視し、異常なリクエストを検知するためのルールを設定することも有効です。アップデート後、バージョン3.0.6が正しくインストールされ、脆弱性が修正されていることを確認してください。
Flowise をバージョン 3.0.6 以降にアップデートしてください。このバージョンには、/api/v1/fetch-links エンドポイントの SSRF 脆弱性に対する修正が含まれています。アップデートにより、攻撃者がサーバーをプロキシとして使用して内部ネットワークのサービスにアクセスすることを防ぎます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-59527は、Flowiseアプリケーションの/api/v1/fetch-linksエンドポイントに存在するサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。攻撃者はFlowiseサーバーをプロキシとして利用し、内部ネットワークにアクセスできます。
Flowiseのバージョン3.0.5以前を使用している場合は、影響を受けます。バージョン3.0.6にアップデートしてください。
Flowiseをバージョン3.0.6にアップデートすることを強く推奨します。アップデートできない場合は、WAFを導入して/api/v1/fetch-linksエンドポイントへのアクセスを制限してください。
現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、早期に悪用される可能性があります。
Flowiseの公式アドバイザリは、FlowiseのウェブサイトまたはGitHubリポジトリで確認できます。