✅ レポートタイトル：Flowise脆弱性分析：CVE-2024-8181

S2W脅威インテリジェンスセンターは「Flowise」で発見された脆弱性「CVE-2024-8181」の内容を確認できる難易度の高い脅威インテリジェンスレポートを発行しました。

企業がAIツールをビジネスワークフローに統合する過程でLLMのセキュリティに対する考慮が足りない可能性があるため、オープンソースベースのLLM関連プラットフォームの脆弱性によるサーバー侵害と機密情報の漏洩に注意が必要です。

*「Flowise」とは？：オープンソースベースのLLMアプリ制作プラットフォームです。

✅ レポートの要約：

- 当該レポートは、2024年8月27日にパッチされた「Flowise*」で発見された脆弱性「CVE-2024-8181」に関する分析レポートです。
- 当該脆弱性は、「Flowise」が提供するAPI内での認証有無の検証が不十分なために発生したAuthenticate Bypassの脆弱性です。
- Flowise < 2.0.6 バージョンがこの脆弱性の影響を受けます。
- 当該脆弱性により、攻撃者はリモートから任意のAPIを呼び出し、任意のファイルの書き込みやLLMデータの窃取などが可能になります。

📌「CVE-2024-8181」に関する詳細

- CVE Number: CVE-2024-8181
- Disclosure or Patch Date: 2024-08-27
- Product: Flowise
- Vendor: FlowiseAI
- Confirmed Affected Versions: Flowise < 2.0.6
- Patched Version: 2.0.6 ≤ Flowise
- Reporter(Advisor): Rémy Marot (Tenable Research Team)
- 原因：「Flowise」は、LLMを使用したアプリ作成ツールで、これを制御するための複数のAPIを提供しています。
  「Flowise」が提供するAPIの中には、単純なヘルスチェックの目的である「ping API」などの認証を必要としないAPIがあり、「apikey」などの機密データを確認できるAPIがあります。
  「Flowise」はコードフロー上、基本的にすべてのAPIに認証が要求され、認証を必要としないAPIに対しては別途例外処理をして除外するように作成されました。
  当該脆弱性は、認証を必要としないAPIに対して例外処理を実行する過程で検証する方法が誤っているために認証を回避する可能性がある脆弱性です。

✅ 脅威検出の推奨事項と対策方法：

- 当該脆弱性は、「Flowise」が提供するAPI内で認証有無の検証が不十分なために発生したAuthenticate Bypassの脆弱性です。
- 脆弱なバージョンの「Flowise」を使用している場合は、最新バージョンにアップデートすることをお勧めします。
- アップデートができない場合は、以下の対策方法に従って対処することをお勧めします。
  > ネットワークアクセス制御を使用して、許可されたネットワークでのみアクセス可能に制限します。

※当該レポートは、S2Wのプラットフォーム「QUAXAR（クェーサー）」にて全文が提供されています。詳細に関してはお問い合わせください。

🧑‍💻 レポート作成者: S2W 「TALON」 (2024年12月3日基準)

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。