Flowise < 3.0.6 の複数の脆弱性
critical Web App Scanning プラグイン ID 114963
Language:
概要
Flowise < 3.0.6 の複数の脆弱性説明
バナーによると、リモートホストで実行中の Flowise のバージョンは、< 3.0.6 です。したがって、以下の複数の脆弱性による影響を受けます。- 認証されていないパスワードリセットトークンの漏洩
- /api/v1/fetch-links エンドポイントでのサーバーサイドリクエストフォージェリの脆弱性
- CustomMCP ノード経由のリモートコード実行
- /api/v1/get-upload-file および /api/v1/openai-assistants-file/download の両方のエンドポイントに提供された chatId パラメーター経由の認証されていない任意のファイル読み取りの脆弱性
- Supabase RPC Filter コンポーネント経由のリモートコード実行
スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Flowise バージョン 3.0.6 以降にアップグレードしてください。参考資料
https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-3gcm-f6qx-ff7p
https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-6933-jpx5-q87q
https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-7944-7c6r-55vv
https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-99pg-hqvx-r4gf
https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-hr92-4q35-4j3m
https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-q67q-549q-p849
https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-wgpv-6j63-x5ph
プラグインの詳細
深刻度: Critical
ID: 114963
タイプ: remote
ファミリー: Artificial Intelligence
公開日: 2025/9/19
更新日: 2025/9/19
スキャン テンプレート: api, basic, full, pci, scan
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2025-58434
CVSS v3
リスクファクター: Critical
基本値: 9.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS スコアのソース: CVE-2025-58434
脆弱性情報
CPE: cpe:2.3:a:flowiseai:flowise:*:*:*:*:*:*:*:*
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
脆弱性公開日: 2025/9/11
参照情報
CVE: CVE-2025-58434
CWE: 306
OWASP: 2010-A3, 2013-A2, 2017-A2, 2021-A7
WASC: Insufficient Authentication
DISA STIG: APSC-DV-000460
HIPAA: 164.312(a), 164.312(e)
ISO: 27001-A.9.1.2, 27001-A.9.2.3, 27001-A.9.4.4, 27001-A.9.4.5
NIST: sp800_53-AC-6(1)
OWASP API: 2019-API7, 2023-API8
OWASP ASVS: 4.0.2-3.7.1
PCI-DSS: 3.2-6.5.10