CVE-2026-46480 Flowiseの評価者権限引継ぎによるクロスワークスペース権限昇格脆弱性対策ガイド for AI Security担当者

結論

• 危険度: 情報なし
• 対象: flowise <= 3.1.1
• 修正: 3.1.2
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-06-08 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-46480はFlowise (バージョン3.1.1以前)の脆弱性で、攻撃者が認証なしに他の作業スペースの評価者（Evaluator）を乗っ取れます。LLMフローを構築している運用者にとって最優先の対応です。

やさしく説明すると

Flowiseは大きな言語モデル(LLM)の動作をドラッグ＆ドロップで作るツールです。この脆弱性は複数のお部屋（作業スペース）があるビルで、ある部屋の鍵で他の部屋の鍵も開けられてしまうようなものです。結果として、他の作業スペースの評価者を勝手に操作できるため個人情報や設定が盗まれたり壊されたりします。

技術的な原因

評価者（Evaluator）作成/更新処理でJavaScriptの Object.assign を使い、ユーザーからのリクエストボディ全てを無差別にコピーしています。これにより、悪意ある攻撃者が本来変更できない workspaceId（作業スペースの識別子）や id を書き換え、別の作業スペースの評価者を不正に操作できます。CWE-915（Improper Control of Generation of Code）に分類され、オブジェクトの「大量割り当て（Mass-assignment）」が原因です。

影響を受けると何が困るか

• 複数の作業スペース間の分離が崩れ、他テナントやユーザーの評価者を不正に操作される
• LLMの動作フロー改変による誤った判断や機密情報の漏洩
• エージェント型運用で評価者が乗っ取られ、意図しないコマンド実行や情報漏洩
• モデルの信頼性低下・改ざんリスク
• AIコーディングツールやAgenticフレームワークに組み込んでいる場合の横展開リスク

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

• CVSSスコアは未公開（数値情報なし）。実務的には「中」程度の深刻度と判断
• EPSS（悪用予測スコア）データなし。悪用予測は不明
• ランサムウェア悪用の報告なし
• 公開PoCや悪用報告は現時点でなし
• 攻撃原理は認証不要の大量割り当てによるIDOR（不正直接オブジェクト参照）だが、リモート操作の前提がある程度限定的

誰が動くべきか

• Flowiseを3.1.1以下で本番運用しているLLMアプリケーション開発・運用エンジニア
• AgentフレームワークやLLM ProxyにFlowiseを統合しているSRE/SecOpsチーム
• バイブコーダー開発者でFlowiseを内部ツールやAgentic開発に活用している方

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
Flowise（npmパッケージ）	3.1.1以下	3.1.2

バージョン確認コマンド

Python (pip)

pip show flowise

出力例:

Name: flowise
Version: 3.1.1
Summary: Flowise LLM Drag & Drop UI

判定: バージョンが 3.1.1 以下なら脆弱

Node.js (npm)

npm list flowise

出力例:

├── flowise@3.1.1

判定: バージョンが 3.1.1 以下なら脆弱

Docker

docker images | grep flowise

出力例:

flowise    latest    sha256:xxxxx    3 weeks ago    200MB

判定: 最新タグの数字で判別。3.1.2未満は脆弱

設定確認

本脆弱性は設定依存ではありません。バージョンが脆弱な場合、設定の有無にかかわらず影響を受けます。

Nucleiテンプレートでの検出

現時点で公開されているNucleiテンプレートはありません。バージョン確認での検出を推奨します。

STEP 4: 修正を適用する

パッチ適用

Python (pip)でのアップグレード

pip install --upgrade flowise

出力例:

Successfully installed flowise-3.1.2

判定: バージョンが 3.1.2 に更新されればOK

Node.js (npm)でのアップグレード

npm install flowise@3.1.2

出力例:

+ flowise@3.1.2
updated 1 package

判定: バージョンが 3.1.2 ならOK

Dockerイメージの更新

docker pull flowise:3.1.2

出力例:

3.1.2: Pull complete

判定: イメージタグが 3.1.2 ならOK

注意: 運用環境のバックアップを取得し、テスト環境でパッチ動作を検証してから本番適用してください。適用に伴う停止時間を考慮し、業務影響を最小化する計画を立てましょう。

パッチ即時適用ができない場合の暫定対応

公式からの暫定対応は提示されていません。ネットワーク隔離や該当APIのアクセス制限を検討してください。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを再度実行してください。

期待される出力

Python (pip)

pip show flowise

出力例:

Name: flowise
Version: 3.1.2
Summary: Flowise LLM Drag & Drop UI

判定: バージョンが 3.1.2 以上なら安全

Node.js (npm)

npm list flowise

出力例:

├── flowise@3.1.2

判定: バージョンが 3.1.2 以上なら安全

Docker

docker images | grep flowise

出力例:

flowise    3.1.2    sha256:xxxxx    1 day ago    200MB

判定: イメージタグが 3.1.2 なら安全

追加で確認すべきこと

現時点で公開Nucleiテンプレートはありませんが、もし今後提供されれば再実行してください。また、ログに不審な評価者の作成や更新が無いか監視してください。

補足: 悪用観測状況

現状、CVE-2026-46480に関する悪用報告や公開PoCコードはありません。GitHub Advisory Databaseにて高危険度のアドバイザリは登録されていますが、実際の攻撃は未確認です。ランサムウェアによる悪用の情報も現時点ではありません。

補足: CVSSメトリクス詳細

• AV（攻撃元のアクセスベクター）: 未公開
• AC（攻撃の複雑さ）: 未公開
• PR（攻撃者の権限）: 未公開
• UI（ユーザの操作の要否）: 未公開
• S（スコープ変化）: 未公開
• C（機密性への影響）: 各種データの不正取得につながる
• I（完全性への影響）: 評価者の乗っ取りによる改ざんが可能
• A（可用性への影響）: サービス継続に悪影響を与える恐れあり

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で対象バージョンか確認し、STEP 4で3.1.2以上にアップデートしてください。STEP 5で更新結果を再確認することが重要です。

Q. パッチが適用できない場合、どうすればよいですか？

A. ネットワークアクセス制限や影響がありそうなAPIの利用停止など、運用面での暫定対応が必要です。公式の暫定措置はまだ公開されていません。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 不審な評価者の作成・更新記録や予期しないworkspaceIdの変更ログを確認してください。ベンダーのIOC情報があれば活用が望ましいです。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは理論的な深刻度、EPSSは「実際に悪用される可能性」を示します。両者を合わせると優先対応度をより正確に判断できます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-915の大量割り当てミスを原因とする脆弱性は過去に複数あり、IDORや権限昇格につながるリスクが共通しています。類似ケースの対応経験が参考になります。

参考文献

• Flowise 3.1.2リリースノート
• GitHub Advisory Database: CVE-2026-46480
• NVD: CVE-2026-46480
• GitHub Advisory Database検索結果

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• LLM に関するCVE・脆弱性記事一覧
• AIフレームワーク に関するCVE・脆弱性記事一覧

2026-06-09 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 0日）。

項目	公開時点	2026-06-09時点	変化の意味
CVSSスコア変化	9 (low)	7.7 (HIGH)	NVD再評価でスコアが下方修正
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

公開時点では本脆弱性のCVSSスコアが「9 (low)」と記載されていましたが、2026-06-09時点で「7.7 (HIGH)」に修正されました。これはNVD（米国国立脆弱性データベース）による再評価でスコアが下方修正されたことを意味します。CVSSスコアはシステム管理者やセキュリティ担当者が対応優先度を判断する際の重要な指標であり、数字の変動が実運用に及ぼす影響は小さくありません。今後、本脆弱性を「High」扱いとして、計画的にアップデートやパッチ適用を進めることが推奨されます。運用側は過度な緊急対応から計画的なリスク管理へ移行してください。

タイトルプレフィックス未付与

記事公開時点ではタイトルに危険度プレフィックスが付いていませんでしたが、最新状況では「【高】」のプレフィックスが妥当と判断され、付与される形へ修正されました。この変更は、CVSSスコアの評価結果を正確にタイトルに反映させるための運用フロー補正です。タイトルにおける危険度プレフィックスは、現場での優先度判断やアラート運用に直結するため、過不足なく付与されることが重要です。今後は「【高】」の表示を手がかりに、他の「重大」や「至急」区分と混同せず適切なリスク対応を計画してください。

2026-06-16 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-16時点	変化の意味
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

タイトルプレフィックス未付与

公開当初は本脆弱性記事のタイトルに危険度プレフィックス（【高】など）が付与されていませんでしたが、2026-06-16時点で「【高】」のプレフィックスが追加されています。これは記事公開時の凡ミスにより、CVSSスコア8.8相当の高リスク脆弱性であることがタイトルに明示されていなかったことの補正となります。

危険度プレフィックスは運用現場での対応優先度判断や、脆弱性情報を見落とさないための重要な指標です。今回の変更により、関係者は本件を「High」リスク相当として認識・対応しやすくなります。CVSS 7.0以上の脆弱性は、計画的かつ早期の修正対応が推奨されます。今後も記事のタイトル表記に注意し、対応優先度を的確に示す運用を継続してください。