CRITICAL🇬🇧 English

CVE-2025-71336

RCE w Flowise — command injection przez endpoint Custom MCP

CVSS 9.3v4.0pub. 2026-06-25upd. 2026-07-01

Flowise w wersjach 2.2.7-patch.1 i wcześniejszych zawiera podatność umożliwiającą nieuwierzytelnione zdalne wykonanie kodu (RCE) poprzez funkcję Custom MCP. Atakujący bez żadnych uprawnień może przejąć pełną kontrolę nad kontenerem lub serwerem, na którym działa aplikacja.

Pokaż oryginał (EN)

Flowise before 3.0.6 (affected versions 2.2.7-patch.1 and earlier) contains an unsandboxed remote code execution vulnerability in the Custom MCP feature, which is designed to execute OS commands such as launching local MCP servers. Because Flowise's authentication and authorization model is minimal and lacks role-based access control, and the default installation runs without authentication unless FLOWISE_USERNAME and FLOWISE_PASSWORD are set, an attacker can send a crafted JSON payload with the header 'x-request-from: internal' to the /api/v1/node-load-method/customMCP endpoint to execute arbitrary OS commands, resulting in complete compromise of the platform container or server.

🤖 Analiza AI
Jak działa

Funkcja Custom MCP w Flowise jest zaprojektowana do wykonywania poleceń systemowych (np. uruchamiania lokalnych serwerów MCP). Domyślna instalacja Flowise działa bez uwierzytelnienia, chyba że ręcznie ustawiono zmienne FLOWISE_USERNAME i FLOWISE_PASSWORD. Atakujący może wysłać spreparowany payload JSON z nagłówkiem 'x-request-from: internal' do endpointu /api/v1/node-load-method/customMCP, co pozwala na wykonanie dowolnych poleceń systemu operacyjnego bez autoryzacji. Podatność wynika z braku sandboxowania wykonywanych poleceń oraz minimalnego modelu kontroli dostępu pozbawionego mechanizmu RBAC.

Skutki

Pomyślne wykorzystanie podatności prowadzi do pełnego przejęcia kontenera lub serwera, na którym uruchomiony jest Flowise — atakujący uzyskuje możliwość wykonania dowolnych poleceń OS z uprawnieniami procesu aplikacji.

Mitygacja

Należy zaktualizować Flowise do wersji 3.0.6 lub nowszej. Do czasu aktualizacji zaleca się wymuszenie uwierzytelnienia poprzez ustawienie zmiennych środowiskowych FLOWISE_USERNAME i FLOWISE_PASSWORD oraz ograniczenie dostępu sieciowego do endpointów API wyłącznie do zaufanych hostów.

Kogo dotyczy

Flowise w wersjach 2.2.7-patch.1 i wcześniejszych (wszystkie wersje przed 3.0.6)

Uwagi

Podatność dotyczy domyślnych instalacji Flowise, w których uwierzytelnienie nie jest skonfigurowane — stanowi to najczęstszy scenariusz wdrożeniowy. Szczegóły techniczne dostępne są w oficjalnym security advisory FlowiseAI na GitHub (GHSA-6933-jpx5-q87q).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Flowiseai Flowise

    APP
    Flowiseai
    < 3.0.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEContainerCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2025-71338CRITICAL10.0PL ✓ten sam produkt

Flowise: path traversal umożliwiający zapis plików i RCE bez uwierzytelnienia

CVE-2025-71327CRITICAL9.3PL ✓ten sam produkt

Flowise – Authentication Bypass przez niezabezpieczony endpoint rejestracji

CVE-2025-71333CRITICAL9.3PL ✓ten sam produkt

Flowise – nieuwierzytelniony upload plików z path traversal umożliwiający RCE

CVE-2025-71334CRITICAL9.3PL ✓ten sam produkt

Flowise – path traversal umożliwiający zapis/odczyt plików i RCE (bez uwierzytelnienia)

CVE-2026-46440CRITICAL9.1PL ✓ten sam produkt

Flowise: niebezpieczna walidacja danych uwierzytelniających w endpoincie checkBasicAuth