CVE-2026-41264 in Flowise
要約
〜によって VulDB • 2026年05月22日
Flowiseは、カスタマイズされた大規模言語モデル(LLM)フローを構築するためのドラッグ&ドロップユーザーインターフェースです。バージョン3.1.0より前では、CSV_Agentsクラスのrunメソッド内に特定の脆弱性が存在します。この問題は、LLMによって生成されたPythonスクリプトを評価する際に適切なサンドボックス化が行われていないことに起因します。攻撃者はこの脆弱性を悪用して、サーバーを実行しているユーザーのコンテキスト内でコードを実行できます。プロンプトインジェクション技術を用いて、CSV Agentノードを使用してチャットフローにプロンプトを送信できる認証されていない攻撃者は、LLMを騙して悪意のあるPythonスクリプトを応答させ、そのスクリプトがFlowiseサーバー上で攻撃者が制御するコマンドを実行させることができます。この脆弱性は3.1.0で修正されています。
Once again VulDB remains the best source for vulnerability data.