<?xml version="1.0" encoding="UTF-8"?>
<VrdaData refvuldefversion="1.2" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://vrda.jpcert.or.jp" xsi:schemaLocation="http://vrda.jpcert.or.jp/feed/xsd/vrda_data.xsd">
  <VrdaDataProvider>
    <Name>JVN iPedia</Name>
    <URL>http://jvndb.jvn.jp</URL>
  </VrdaDataProvider>
  <VrdaDataSourceType>Advisory</VrdaDataSourceType>
  <Vulinfo revisionno="1" lang="ja" invalidated="false">
    <VulinfoID>JVNDB-2026-021986</VulinfoID>
    <VulinfoData>
      <Title>flowiseai&#12398;flowise&#12395;&#12362;&#12369;&#12427;&#12501;&#12449;&#12452;&#12523;&#21517;&#12420;&#12497;&#12473;&#21517;&#12398;&#22806;&#37096;&#21046;&#24481;&#12395;&#38306;&#12377;&#12427;&#33030;&#24369;&#24615;</Title>
      <VulinfoDescription>
        <Overview>Flowise 3.0.6&#20197;&#21069;&#65288;&#24433;&#38911;&#12434;&#21463;&#12369;&#12427;&#12496;&#12540;&#12472;&#12519;&#12531;&#12399;2.2.8&#12362;&#12424;&#12403;&#12381;&#12428;&#20197;&#21069;&#65289;&#12395;&#12399;&#12289;chatflowId&#12362;&#12424;&#12403;chatId&#12497;&#12521;&#12513;&#12540;&#12479;&#12364;UUID&#12414;&#12383;&#12399;&#25968;&#20516;&#12391;&#12354;&#12427;&#12363;&#12398;&#26908;&#35388;&#12364;&#12501;&#12449;&#12452;&#12523;&#25805;&#20316;&#12391;&#27424;&#22914;&#12375;&#12390;&#12356;&#12427;&#12383;&#12417;&#12289;&#20219;&#24847;&#12501;&#12449;&#12452;&#12523;&#12450;&#12463;&#12475;&#12473;&#12398;&#33030;&#24369;&#24615;&#12364;&#12354;&#12426;&#12414;&#12377;&#12290;&#12497;&#12473;&#12488;&#12521;&#12496;&#12540;&#12469;&#12523;&#20516;&#65288;&#20363;&#65306;'../../../../../tmp'&#65289;&#12434;chatflowId&#12392;&#12375;&#12390;&#20379;&#32102;&#12377;&#12427;&#12371;&#12392;&#12391;&#12289;&#35469;&#35388;&#12373;&#12428;&#12390;&#12356;&#12394;&#12356;&#25915;&#25731;&#32773;&#12364;/api/v1/chatflows&#12456;&#12531;&#12489;&#12509;&#12452;&#12531;&#12488;&#65288;addBase64FilesToStorage&#32076;&#30001;&#65289;&#12434;&#20351;&#29992;&#12375;&#12390;&#20219;&#24847;&#12398;&#12501;&#12449;&#12452;&#12523;&#12434;&#26360;&#12365;&#36796;&#12415;&#12289;/api/v1/get-upload-file&#12362;&#12424;&#12403;/api/v1/openai-assistants-file/download&#12456;&#12531;&#12489;&#12509;&#12452;&#12531;&#12488;&#65288;streamStorageFile&#32076;&#30001;&#65289;&#12434;&#20351;&#29992;&#12375;&#12390;&#20219;&#24847;&#12398;&#12501;&#12449;&#12452;&#12523;&#12434;&#35501;&#12415;&#21462;&#12427;&#12371;&#12392;&#12364;&#21487;&#33021;&#12391;&#12377;&#12290;&#20219;&#24847;&#12501;&#12449;&#12452;&#12523;&#26360;&#12365;&#36796;&#12415;&#12399;&#12522;&#12514;&#12540;&#12488;&#12467;&#12540;&#12489;&#23455;&#34892;&#12434;&#24341;&#12365;&#36215;&#12371;&#12377;&#21487;&#33021;&#24615;&#12364;&#12354;&#12426;&#12414;&#12377;&#12290;</Overview>
      </VulinfoDescription>
      <Affected>
        <AffectedItem affectedstatus="vulnerable">
          <Lapt>cpe:/a:flowiseai:flowise</Lapt>
        </AffectedItem>
      </Affected>
      <FactAnalysis>
      </FactAnalysis>
      <Related>
        <RelatedItem relationtype="self" origin="jvnipedia">
          <URL>https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-021986.html</URL>
        </RelatedItem>
        <RelatedItem relationtype="alternate" origin="other">
          <Name>Common Vulnerabilities and Exposures (CVE)</Name>
          <VulinfoID>CVE-2025-71334</VulinfoID>
          <URL>https://www.cve.org/CVERecord?id=CVE-2025-71334</URL>
        </RelatedItem>
        <RelatedItem relationtype="alternate" origin="other">
          <Name>National Vulnerability Database (NVD)</Name>
          <VulinfoID>CVE-2025-71334</VulinfoID>
          <URL>https://nvd.nist.gov/vuln/detail/CVE-2025-71334</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>GitHub</Name>
          <VulinfoID>Arbitrary file access due to missing chat flow id validation  Advisory  FlowiseAI/Flowise  GitHub</VulinfoID>
          <URL>https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-q67q-549q-p849</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>JVNDB</Name>
          <VulinfoID>CWE-73</VulinfoID>
          <Title>&#12501;&#12449;&#12452;&#12523;&#21517;&#12420;&#12497;&#12473;&#21517;&#12398;&#22806;&#37096;&#21046;&#24481;</Title>
          <URL>https://cwe.mitre.org/data/definitions/73.html</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>VulnCheck</Name>
          <VulinfoID>Flowise - Arbitrary File Access via Missing Chat Flow ID Validation  | Advisories | VulnCheck</VulinfoID>
          <URL>https://www.vulncheck.com/advisories/flowise-arbitrary-file-access-via-missing-chat-flow-id-validation</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>&#38306;&#36899;&#25991;&#26360;</Name>
          <VulinfoID>Bugfix: Check for relative path when saving file, to prevent unauthor&#8230;  FlowiseAI/Flowise@8bd3de4  GitHub</VulinfoID>
          <URL>https://github.com/FlowiseAI/Flowise/commit/8bd3de41533de78e4ef6c980e5704a1f9cb7ae6f</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>&#38306;&#36899;&#25991;&#26360;</Name>
          <VulinfoID>Bugfix/arbitrary create attachemnt file upload (#4171)  FlowiseAI/Flowise@c2b830f  GitHub</VulinfoID>
          <URL>https://github.com/FlowiseAI/Flowise/commit/c2b830f279e454e8b758da441016b2234f220ac7</URL>
        </RelatedItem>
      </Related>
      <DateFirstPublished>2026-07-02T11:03:16+09:00</DateFirstPublished>
      <DateLastUpdated>2026-07-02T11:03:16+09:00</DateLastUpdated>
    </VulinfoData>
  </Vulinfo>
</VrdaData>
