CVE-2025-71336
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 50 — wyżej niż 50% wszystkich znanych CVE
Streszczenie
Flowise przed wersją 3.0.6 (dotknięte wersje 2.2.7-patch.1 i wcześniejsze) zawiera podatność na zdalne wykonanie kodu bez sandboksa w funkcji Custom MCP. Atakujący może wysłać spreparowany ładunek JSON z nagłówkiem 'x-request-from: internal' do endpointu /api/v1/node-load-method/customMCP, aby wykonać dowolne polecenia systemowe, co prowadzi do całkowitego przejęcia kontenera lub serwera.
Ocena ryzyka
Ryzyko dla organizacji jest krytyczne, ponieważ domyślna instalacja Flowise działa bez uwierzytelniania, a brak kontroli dostępu opartej na rolach umożliwia nieautoryzowanemu atakującemu pełne przejęcie platformy, co może skutkować utratą danych, przerwaniem działania usług lub dalszym atakiem na infrastrukturę.
Rekomendacja
Należy natychmiast zaktualizować Flowise do wersji 3.0.6 lub nowszej oraz skonfigurować zmienne środowiskowe FLOWISE_USERNAME i FLOWISE_PASSWORD w celu włączenia uwierzytelniania. Dodatkowo zaleca się ograniczenie dostępu do endpointu /api/v1/node-load-method/customMCP tylko dla zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
Flowise before 3.0.6 (affected versions 2.2.7-patch.1 and earlier) contains an unsandboxed remote code execution vulnerability in the Custom MCP feature, which is designed to execute OS commands such as launching local MCP servers. Because Flowise's authentication and authorization model is minimal and lacks role-based access control, and the default installation runs without authentication unless FLOWISE_USERNAME and FLOWISE_PASSWORD are set, an attacker can send a crafted JSON payload with the header 'x-request-from: internal' to the /api/v1/node-load-method/customMCP endpoint to execute arbitrary OS commands, resulting in complete compromise of the platform container or server.

