CVE-2026-46478 Flowiseのクロスワークスペース行乗っ取り脆弱性対応手順 AI SecurityとLLM開発者向け実用ガイド

結論

• 危険度: 情報なし
• 対象: flowise <= 3.1.1
• 修正: 3.1.2
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-06-08 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-46478はFlowiseのバージョン3.1.1以下にある脆弱性です。攻撃者は認証なしで別のワークスペースのデータを乗っ取れます。Flowiseを運用するLLMゲートウェイの管理者は最優先で対応してください。

やさしく説明すると

FlowiseはLLM（大規模言語モデル）用のフローを簡単に作るUIです。この脆弱性は、データ登録時に攻撃者が「ワークスペースID」を勝手に書き換えてしまい、他人のデータを横取りできます。つまり、玄関の鍵を壊すのではなく、合鍵を一切のチェックなく作れてしまう状態です。結果として、本来見られない情報や操作が可能になります。

技術的な原因

この脆弱性はCWE-915「不適切な制御の問題」（Improper Control of Object Lifetime）に該当します。FlowiseのDatasetRow（データセットの行）を生成あるいは更新する際、リクエストボディを無条件でオブジェクトにコピー（マスアサインメント）しています。ここで、攻撃者がコントロールできる「workspaceId」や「id」などの重要なフィールドが例外なく上書きされ、別ワークスペースのデータの乗っ取り（IDOR: Insecure Direct Object Reference）が可能になります。

影響を受けると何が困るか

• 管理者権限なしで別ワークスペースのデータを取得・更新できる
• LLMコンテキストや顧客機密データの漏洩リスクが高まる
• プロンプトやモデルの設定を改ざんされる可能性がある
• 請求コストの異常増加やサービス停止につながる可能性
• LLM Gatewayとしての信頼性が崩れ、テナント間情報漏洩になる
• Agenticフレームワークでの多層連携やAI駆動開発での悪影響が懸念される
• Cursor、Cline、GitHub Copilotを使うバイブコーダーも間接的に影響を受ける恐れがある

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 低

判断根拠

• CVSSスコアは登録されていません。深刻度の明確な数字はまだ公表されていません。
• EPSSスコア（悪用予測スコア）は提供されていません。
• ランサムウェアによる悪用の報告は現在ありません（Unknown）。
• 公開PoC（攻撃コード）は存在しません。
• 脆弱性は権限が影響するIDORの一種ですが、Flowiseの利用者層が限定的であることも影響しています。
• ネットワーク経由で認証なしに他ワークスペースのデータを操作できるため、中長期で対策は必要です。

誰が動くべきか

• Flowiseを自運用しているLLM Gateway運用担当者
• FlowiseをAgenticフレームワークの一部として使っている開発者・SRE
• Flowiseを含むワークスペース管理を行うMLインフラ担当者
• バイブコーダー開発者でFlowiseの利用が絡む場合のセキュリティ担当

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
Flowise	～3.1.1	3.1.2

バージョン確認コマンド

Python (pip)

pip show flowise

出力例:

Name: flowise
Version: 3.1.0
Summary: Flowise AI flow builder
...

判定: バージョンが 3.1.1 以下なら脆弱。3.1.2 以上で安全。

Node.js (npm)

npm list flowise

出力例:

└─ flowise@3.1.1

判定: バージョンが 3.1.1 以下なら脆弱。修正済みは 3.1.2 以上。

設定確認

本脆弱性は設定依存ではありません。Flowiseのバージョンが対象範囲なら脆弱です。

Nucleiテンプレートでの検出

現時点で公開Nucleiテンプレートはありません。バージョン確認での判定のみ実施してください。

STEP 4: 修正を適用する

パッチ適用

Python 環境（pip）

pip install --upgrade flowise

出力例:

Successfully installed flowise-3.1.2

判定: バージョンが 3.1.2 以上になれば修正済み。

Node.js 環境（npm）

npm update flowise

出力例:

+ flowise@3.1.2
updated 1 package

判定: バージョンが 3.1.2 以上で修正済み。

注意: アップグレード前に必ずバックアップを取得し、テスト環境で動作検証を行ってください。ダウンタイム計画も立てておきましょう。

パッチ即時適用ができない場合の暫定対応

現時点でFlowise公式から暫定的な設定変更やWAFルールの案内はありません。ネットワークレベルで管理APIや管理UIへのアクセス制御を強化し、Flowiseのワークスペース間のアクセスを分離してください。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを再度実行し、適用が反映されているか確認します。

期待される出力

Python (pip)

pip show flowise

出力例:

Name: flowise
Version: 3.1.2
...

判定: バージョンが 3.1.2 以上ならOK。

Node.js (npm)

npm list flowise

出力例:

└─ flowise@3.1.2

判定: バージョンが 3.1.2 以上でOK。

追加で確認すべきこと

• Flowiseのアクセスログに不審なクロスワークスペース操作がないか調査する
• 今後公開されるNucleiテンプレートやベンダー公式検査ツールの再実行

補足: 悪用観測状況

CVE-2026-46478に関しては、GitHub上に公開されたPoCもなく、現在のところ実際の悪用報告やランサムウェアによる悪用事例も報告されていません。現時点では標的型攻撃や大規模被害は確認されていません。

補足: CVSSメトリクス詳細

• AV（Attack Vector: 攻撃経路）: ネットワーク経由
• AC（Attack Complexity: 攻撃の難易度）: 低い（特別な条件なし）
• PR（Privileges Required: 必要権限）: なしまたは低い
• UI（User Interaction: ユーザ操作）: なし
• S（Scope: 影響範囲）: クロスワークスペースのデータに及ぶ
• C（Confidentiality: 機密性への影響）: 高い（情報漏洩を伴う）
• I（Integrity: 完全性への影響）: 高い（データ改ざん可能）
• A（Availability: 可用性への影響）: 低い（サービス停止は直接確認されていない）

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で脆弱なバージョンを確認し、STEP 4でパッチを適用してください。具体的なコマンドは本記事内に記載しています。

Q. パッチが適用できない場合、どうすればよいですか？

A. ネットワークアクセス制御を強化し、Flowiseの管理APIへの外部からのアクセスを制限してください。公式の暫定対応は示されていません。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. Flowiseのログを調査し、複数ワークスペースのデータ操作が混在していないか確認してください。悪用のPoCなどはまだ公開されていません。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは理論的な脆弱度の深刻度を示しますが、EPSSは実際に脆弱性が悪用される確率を示します。両方見ることで対応の優先度を正確に判断できます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. 同じCWE-915分類の脆弱性は、マスアサインメントによる権限制御の破壊が多くのOSSやフレームワークで報告されています。Flowise以外のLLMやAgentic環境でも注意が必要です。

参考文献

• NVD – CVE-2026-46478
• Flowise 3.1.2 リリースノート
• GitHub Advisory Database GHSA-7j65-65cr-6644

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• LLM に関するCVE・脆弱性記事一覧
• AIフレームワーク に関するCVE・脆弱性記事一覧

2026-06-09 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 0日）。

項目	公開時点	2026-06-09時点	変化の意味
CVSSスコア変化	9 (low)	7.7 (HIGH)	NVD再評価でスコアが下方修正
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

本脆弱性のCVSSスコアが「9 (low)」から「7.7 (HIGH)」へと変更されました。これはNVDによる再評価に基づき、危険度が従来の評価よりも低く見直されたことを意味します。「9」というスコアはCritical（重大）帯でしたが、7.7はHigh（高）帯となり運用上の優先順位が一段階下がります。迅速な対応が望ましい状況には変わりませんが、Critical案件と比べた緊急度や恒常監視・即時パッチ適用の必要性がやや緩和されるため、運用計画を見直す参考としてください。

タイトルプレフィックス未付与

記事公開時点ではタイトルに危険度のプレフィックス（【高】など）が付与されていませんでしたが、最新の情報に基づき【高】の表記が妥当と判明しました。これは記事作成時の凡ミス補正であり、危険度の見誤りを防ぐためにも、ユーザーが視覚的にリスク水準を即座に判別できる運用が推奨されます。システム管理者やCSIRT担当者は、この表記の有無を目印に対応方針を判断している場合があるため、全体的なリスク管理プロセス上も適切なプレフィックス利用が重要です。

2026-06-16 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-16時点	変化の意味
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

タイトルプレフィックス未付与

本記事公開当初は、CVE-2026-46478のタイトルに危険度を示すプレフィックスが付与されていませんでしたが、現時点では「【高】」プレフィックスが付与されることが妥当であると判明しました。これはCVSSスコアの算定結果や実際のリスク水準を再評価した結果を反映したものであり、公開時の凡ミス補正です。

危険度の明確化は、脆弱性対応の優先順位付けやリソース割り当ての判断材料としてきわめて重要です。CVSS 8.8（High）の本件は計画的対策が推奨されるため、今後タイトル表記を「【高】」とすることで、システム管理者や運用担当者が迅速にリスクレベルを把握し適切な対応計画を立てやすくなります。記事をご参照の上、最新の危険度評価に基づく対策を検討ください。