Flowise w wersjach 2.2.7-patch.1 i wcześniejszych zawiera podatność umożliwiającą nieuwierzytelnione zdalne wykonanie kodu (RCE) poprzez funkcję Custom MCP. Atakujący bez żadnych uprawnień może przejąć pełną kontrolę nad kontenerem lub serwerem, na którym działa aplikacja.
▸ Pokaż oryginał (EN)
Flowise before 3.0.6 (affected versions 2.2.7-patch.1 and earlier) contains an unsandboxed remote code execution vulnerability in the Custom MCP feature, which is designed to execute OS commands such as launching local MCP servers. Because Flowise's authentication and authorization model is minimal and lacks role-based access control, and the default installation runs without authentication unless FLOWISE_USERNAME and FLOWISE_PASSWORD are set, an attacker can send a crafted JSON payload with the header 'x-request-from: internal' to the /api/v1/node-load-method/customMCP endpoint to execute arbitrary OS commands, resulting in complete compromise of the platform container or server.
Funkcja Custom MCP w Flowise jest zaprojektowana do wykonywania poleceń systemowych (np. uruchamiania lokalnych serwerów MCP). Domyślna instalacja Flowise działa bez uwierzytelnienia, chyba że ręcznie ustawiono zmienne FLOWISE_USERNAME i FLOWISE_PASSWORD. Atakujący może wysłać spreparowany payload JSON z nagłówkiem 'x-request-from: internal' do endpointu /api/v1/node-load-method/customMCP, co pozwala na wykonanie dowolnych poleceń systemu operacyjnego bez autoryzacji. Podatność wynika z braku sandboxowania wykonywanych poleceń oraz minimalnego modelu kontroli dostępu pozbawionego mechanizmu RBAC.
Pomyślne wykorzystanie podatności prowadzi do pełnego przejęcia kontenera lub serwera, na którym uruchomiony jest Flowise — atakujący uzyskuje możliwość wykonania dowolnych poleceń OS z uprawnieniami procesu aplikacji.
Należy zaktualizować Flowise do wersji 3.0.6 lub nowszej. Do czasu aktualizacji zaleca się wymuszenie uwierzytelnienia poprzez ustawienie zmiennych środowiskowych FLOWISE_USERNAME i FLOWISE_PASSWORD oraz ograniczenie dostępu sieciowego do endpointów API wyłącznie do zaufanych hostów.
Flowise w wersjach 2.2.7-patch.1 i wcześniejszych (wszystkie wersje przed 3.0.6)
Podatność dotyczy domyślnych instalacji Flowise, w których uwierzytelnienie nie jest skonfigurowane — stanowi to najczęstszy scenariusz wdrożeniowy. Szczegóły techniczne dostępne są w oficjalnym security advisory FlowiseAI na GitHub (GHSA-6933-jpx5-q87q).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XFlowiseai Flowise
APPFlowiseai< 3.0.6
Powiązane podatności
Flowise: path traversal umożliwiający zapis plików i RCE bez uwierzytelnienia
Flowise – Authentication Bypass przez niezabezpieczony endpoint rejestracji
Flowise – nieuwierzytelniony upload plików z path traversal umożliwiający RCE
Flowise – path traversal umożliwiający zapis/odczyt plików i RCE (bez uwierzytelnienia)
Flowise: niebezpieczna walidacja danych uwierzytelniających w endpoincie checkBasicAuth