CVE-2025-71332 Flowise 2.2.7のSQLインジェクション脆弱性解析とAI Security対策ガイド for LLM Gateway開発者

結論

• 危険度: Medium (CVSS 6.5)
• 対象: flowise <= 2.2.7
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

最終更新: 2026-06-24 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP 1: 何が起きているか

一言でいうと

CVE-2025-71332はFlowise 2.2.7以下のバージョンで発生するSQLインジェクション脆弱性です。認証済みユーザーがAPIに悪意あるデータを送り、不正にデータベースを操作できます。これはLLMプロキシやAI Gatewayを運用するエンジニアにとって最優先で対応すべき問題です。

やさしく説明すると

例えると、鍵付きのドアのシステムに「特定のドア番号の入力に不具合があり、本人以外でも合鍵なしにドアを開けられる」状態です。FlowiseのimportChatflows機能で送るデータの検証が不十分なため、悪意のある利用者が巧妙に細工したファイルでデータベースの秘密情報を盗み出すことができます。

技術的な原因

この問題はSQLインジェクション（CWE-89）に分類されます。SQLインジェクションとは、データベース操作命令を不正に挿入される攻撃です。FlowiseのimportChatflows APIは、chatflow.id の値を適切に検証・無害化せず、SQLのIN句に直接挿入しています。つまり不正なSQL文が実行可能となり、データベースの機密情報を盗み出されたり改ざんされたりします。

影響を受けると何が困るか

• 認証ユーザーが、APIキーや管理用クレデンシャル情報を含むデータベースから機密情報を抜き取れる。
• LLMプロンプトやエージェントの動作に関わる情報改ざんによる、悪意ある動作誘導リスク。
• テナント間やユーザーデータ間の情報漏洩。
• AI GatewayやLLM Proxyの運用を妨げる障害発生リスク。
• CursorやCline、CopilotなどのAI駆動開発ツールに拡大すると、ローカルファイルからの情報漏洩や開発環境侵害の危険がある。

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

• CVSS v3.1スコアは6.5（Medium）です。ネットワーク経由での攻撃が可能ですが、高い権限の認証ユーザーが必要です。
• EPSSスコアは提供されていません。つまり直近30日間に確認された悪用予測は不明です。
• ランサムウェアによる悪用は現状「Unknown（不明）」で、実際の攻撃観測はありません。
• 公開されたPoC(攻撃証明)コードは存在せず、GitHub Advisory Databaseの報告も詳細な攻撃パターンは公開されていません。
• 攻撃にネットワーク到達性はありますが、高権限認証が必須です。ユーザ操作は不要です。

誰が動くべきか

• FlowiseをLLM GatewayやAgenticフレームワークとして利用している開発・運用チーム
• Chatflowの管理APIを使うSREやSecOpsチーム
• AI駆動開発でFlowiseを利用中のバイブコーダー開発者（Cursor、Cline、Copilot連携者等）

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

バージョン確認コマンド

Node.js (npm)

npm list flowise

出力例:

flowise@2.2.7
└── (empty)

判定: 出力に 2.2.7 以下のバージョンがあれば脆弱。 2.2.8 以上なら安全。

設定確認

importChatflows APIのchatflow.id値に対する入力検証が不足しています。設定依存の脆弱性ではなく、バージョンが脆弱な範囲内なら攻撃可能です。

Nucleiテンプレートでの検出

公開されたNucleiテンプレートはありません。検出はバージョン確認による方法が推奨されます。

STEP 4: 修正を適用する

パッチ適用

Node.js (npm)

npm install flowise@latest

判定: バージョンが 2.2.8 以上に更新されれば問題解決。

注意: アップグレード前に必ずバックアップを取得し、ステージング環境で動作検証を行ってください。本番環境のダウンタイム計画も検討しましょう。

パッチ即時適用ができない場合の暫定対応

現時点で公式の暫定対応策は提示されていません。不要なユーザーの権限削減やAPIへのアクセス制御強化を検討してください。

STEP 5: 修正されたことを確認する

STEP 3 で実行したバージョン確認コマンドを再度実行してください。

期待される出力

Node.js (npm)

npm list flowise

出力例:

flowise@2.2.8
└── (empty)

判定: バージョンが 2.2.8 以上ならOK

追加で確認すべきこと

公開Nucleiテンプレートがないため、通常のログ監視で不審なimportChatflows API呼び出しがないかをモニタリングしてください。

補足: 悪用観測状況

CVE-2025-71332に関し、現時点ではランサムウェア等による悪用報告はありません。GitHub関連や各種エクスプロイトデータベースに公開PoCも確認されていません。攻撃の複雑度は低いものの、高権限認証が要件となるため悪用は限定的と考えられます。

補足: CVSSメトリクス詳細

• AV (Attack Vector, 攻撃元): NETWORK（リモート攻撃可能）
• AC (Attack Complexity, 攻撃複雑度): LOW（攻撃手順は単純）
• PR (Privileges Required, 必要権限): HIGH（高度な認証権限が必要）
• UI (User Interaction, ユーザ操作): NONE（攻撃にユーザ操作は不要）
• S (Scope, 攻撃範囲): UNCHANGED（攻撃範囲はAPIの範囲内）
• C (Confidentiality, 機密性): HIGH（データ漏洩の可能性大）
• I (Integrity, 完全性): HIGH（データ改ざんの可能性大）
• A (Availability, 可用性): NONE（サービス停止影響なし）

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で自環境のFlowiseバージョン確認を行い、脆弱バージョンならSTEP 4で最新版にアップグレードしてください。

Q. パッチが適用できない場合、どうすればよいですか？

A. 権限管理を強化し、importChatflows APIへのアクセスを制限してください。公式の暫定対応は未提示です。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. FlowiseのAPIアクセスログに不審なファイルインポートや多数の認証済みアクセスがないか監査してください。GitHub等にPoCは現在ありません。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSスコアは脆弱性の深刻度を示しますが、EPSSは実際に攻撃に使われる可能性を示す指標です。両方を参考に対応優先度を決めましょう。

Q. このCVEと類似の脆弱性は他にもありますか？

A. SQLインジェクション（CWE-89）はAI/LLM周辺で繰り返し発生しているカテゴリです。他の製品でもAPI入力検証の不備に注意しましょう。

参考文献

• NVD – CVE-2025-71332
• GitHub Advisory – Flowise SQL Injection
• VulnCheck Advisory

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• Medium脆弱性 に関するCVE・脆弱性記事一覧
• SQLインジェクション に関するCVE・脆弱性記事一覧
• AIフレームワーク に関するCVE・脆弱性記事一覧