CVE-2026-56274 Flowiseに深刻なOSコマンドインジェクションの脆弱性

この記事はAIがNVDのCVE情報をもとに要約・生成したものです。影響範囲や対策は、必ずNVDおよび各ベンダーの公式情報をご確認ください。

公開日: 2026-06-23T13:16:45.083 / 更新日: 2026-06-23T14:48:41.030 / CVSS: 9.9 / 深刻度: CRITICAL

Flowiseの3.1.2未満のバージョンにおいて、Custom MCP Server機能に関連する深刻なOSコマンドインジェクションの脆弱性(CVE-2026-56274)が確認されました。この問題は、コマンドフラグの検証不備およびローカルファイルへのアクセス制限における正規表現の回避に起因しており、極めて高い危険性が指摘されています。
具体的には、Flowiseアカウントを持つユーザーであれば権限に関わらず、あるいはchatflowsに対して閲覧・更新権限を持つAPIを利用できる場合において、攻撃者が悪意のあるMCPサーバーを設定することでシステム側の保護をすり抜け、ホストマシン上で任意のコマンドを実行させる可能性があります。例えば、「docker build」や「npx –yes」といった特定のフラグが含まれる操作が制限されずに実行されるため、管理者が想定しない挙動や予期せぬ動作が発生するリスクがあります。
Linuxサーバーの運用においては、この脆弱性が悪用された場合、システム全体の安全性が損なわれる可能性があるため、運用の監視や注意が必要です。特にDockerに関連する処理を含む環境では警戒が必要です。管理者は自組織で利用しているFlowiseのバージョンを確認し、パッチ適用などの対応を検討すべきです。確認の際には、カスタムMCPサーバーの設定内容に不審なものがないか、意図しないコマンドが実行される設定になっていないかを精査することが求められます。

参照情報

ソクラテスの問い、プラトンの備え

ソクラテス

プラトンよ、我々は「守る」という行為をどう定義すべきだと思うかね? 門番が敵と味方の持ち物を正しく見極めることができなければ、その門は果たして安全だと言えるだろうか。

プラトン

師よ、非常に鋭い問いです。今回のFlowiseにおける事態を例に取れば、まさに「検認」の不備が問題となっています。Custom MCP Serverという機能において、本来なら遮るべき特定のコマンドフラグや、ローカルファイルへのアクセス制限を見極めるための正規表現が十分に機能しておらず、脆弱性(CVE-2026-56274)が生じているのです。

ソクラテス

なるほど。つまり、門の仕組み自体が不完全であるということか。しかし、その門を通り抜けようとする者は誰なのか? 外部からの侵入者だけか、あるいは内部に権限を持つ者の動きか。

プラトン

そこが現場の判断として重要な点です。この脆弱性では、アカウントの権限に関わらず、あるいは特定のAPIアクセス権があれば、悪意のある設定によってシステムの保護をすり抜けてしまう可能性があるのです。例えば、「docker build」や「npx –yes」といった、管理者が想定しない挙動を引き起こしかねない操作が制限されずに実行されるリスクがあるのですから。

ソクラテス

では、管理者という立場にある者は、この状況に対してどのような思索を巡らせるべきだろうか? 抽象的な懸念だけで終わるのではなく、具体的に「何を確認すべきか」を見極める必要がある。

プラトン

その通りです。現場の管理者は、まず自組織で利用しているFlowiseのバージョンが3.1.2未満でないか確認し、パッチ適用の検討を含む変更管理を行う必要があります。特にDockerに関連する処理を含む環境では、より一層の警戒が必要です。単に「危ない」と嘆くのではなく、影響調査を行い、システム全体の安全性が損なわれていないかを精査しなければなりません。

ソクラテス

実に実戦的な提言だ。つまり、継続的な監視と、ベンダー情報の確認に基づいた適切な対応こそが、不確かなものを確かなものへと変える術なのではないか。

プラトン

おっしゃる通りです。カスタムMCPサーバーの設定内容に不審なものがないか、意図しないコマンドが実行される設定になっていないかを注意深く見極めること。この「細心の注意」こそが、システムの安全を守るための現実的な防壁となるのです。

関連キーワード: docker