CVE-2026-41265 in Flowise
要約
〜によって VulDB • 2026年06月02日
Flowiseは、カスタマイズされた大規模言語モデル(LLM)フローを構築するためのドラッグ&ドロップ型ユーザーインターフェースです。バージョン3.1.0より前では、Airtable_Agentsクラスのrunメソッド内に特定の脆弱性が存在します。この問題は、LLMによって生成されたPythonスクリプトの評価時に適切なサンドボックス化が行われていないことに起因します。プロンプトインジェクション攻撃手法を用いることで、認証されていない攻撃者は、Airtable Agentノードを使用してチャットフローにプロンプトを送信する能力を持ち、LLMを悪意のあるPythonスクリプトへの応答へと誘導し、その結果としてFlowiseサーバー上で攻撃者が制御するコマンドを実行させることができます。この脆弱性は3.1.0で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.