Krytyczna luka RCE w Flowise już wykorzystywana w atakach. Zagrożone są wdrożenia AI dostępne z internetu - Security Bez Tabu

Krytyczna luka RCE w Flowise już wykorzystywana w atakach. Zagrożone są wdrożenia AI dostępne z internetu

Cybersecurity news

Wprowadzenie do problemu / definicja

Flowise, popularna platforma open source do budowy aplikacji opartych na dużych modelach językowych oraz agentach AI, znalazła się w centrum uwagi po ujawnieniu krytycznej podatności zdalnego wykonywania kodu. Luka oznaczona jako CVE-2025-59528 pozwala na wstrzyknięcie i uruchomienie kodu JavaScript bez odpowiedniej walidacji, co może prowadzić do wykonania poleceń systemowych i uzyskania dostępu do systemu plików.

Problem jest szczególnie istotny dla organizacji, które udostępniają instancje Flowise do internetu i wykorzystują tę platformę w środowiskach produkcyjnych, integrując ją z modelami AI, bazami danych, systemami SaaS oraz wewnętrznymi źródłami wiedzy.

W skrócie

  • CVE-2025-59528 to krytyczna podatność RCE w komponencie CustomMCP platformy Flowise.
  • Błąd wynika z niebezpiecznej ewaluacji danych wejściowych w parametrze konfiguracyjnym serwera MCP.
  • Poprawka została udostępniona w wersji Flowise 3.0.6.
  • W kwietniu 2026 roku odnotowano aktywne próby wykorzystania tej luki w rzeczywistych atakach.
  • Zagrożone są szczególnie publicznie dostępne i niezałatane instancje wykorzystywane do wdrożeń AI.

Kontekst / historia

Flowise zdobył popularność jako platforma low-code do projektowania przepływów pracy opartych na LLM. Dzięki interfejsowi typu drag-and-drop narzędzie jest wykorzystywane zarówno przez zespoły programistyczne, jak i przez działy biznesowe, operacyjne oraz wsparcia klienta, które chcą szybko tworzyć chatboty, asystentów AI i rozwiązania automatyzujące pracę z dokumentami.

Podatność CVE-2025-59528 została opublikowana w bazie NVD 22 września 2025 roku, natomiast poprawka pojawiła się wcześniej w wydaniu Flowise 3.0.6 z 15 września 2025 roku. Wraz z upublicznieniem szczegółów technicznych ryzyko gwałtownie wzrosło, a w 2026 roku pojawiły się potwierdzenia, że luka jest już aktywnie wykorzystywana przez napastników.

To kolejny przykład sytuacji, w której oprogramowanie open source wdrażane w środowiskach produkcyjnych staje się celem szybkich kampanii skanowania i oportunistycznych ataków tuż po ujawnieniu podatności oraz publikacji dostępnych informacji o wektorze eksploatacji.

Analiza techniczna

Źródłem problemu jest węzeł CustomMCP, używany do konfiguracji połączeń z zewnętrznym serwerem Model Context Protocol. Mechanizm ten przetwarza parametr mcpServerConfig w sposób niebezpieczny, wykonując kod JavaScript bez uprzedniej kontroli bezpieczeństwa. W praktyce prowadzi to do klasycznego scenariusza code injection i umożliwia zdalne wykonanie kodu.

Jeżeli atakujący może dostarczyć odpowiednio spreparowaną konfigurację, jest w stanie uruchomić nieautoryzowany kod w kontekście procesu aplikacji. Skutki zależą od sposobu uruchomienia Flowise, uprawnień procesu, konfiguracji kontenera oraz dostępnych integracji.

  • wykonanie poleceń w systemie operacyjnym,
  • odczyt i modyfikacja plików lokalnych,
  • kradzież sekretów aplikacyjnych i tokenów API,
  • manipulacja przepływami AI i logiką agentów,
  • wykorzystanie serwera do dalszego ruchu bocznego w sieci.

To szczególnie niebezpieczne w środowiskach, w których Flowise przechowuje klucze dostępu do modeli, baz wektorowych, usług chmurowych, repozytoriów dokumentów lub systemów firmowych. Udane wykorzystanie RCE może więc oznaczać nie tylko kompromitację samej aplikacji, ale również przejęcie powiązanych usług i danych.

Konsekwencje / ryzyko

Ryzyko związane z CVE-2025-59528 należy traktować jako krytyczne, zwłaszcza gdy Flowise jest dostępny z internetu, działa na nieaktualnej wersji i posiada dostęp do wrażliwych zasobów. Im więcej integracji z systemami zewnętrznymi i wewnętrznymi, tym większy potencjalny zasięg incydentu.

Najpoważniejszym skutkiem może być pełne przejęcie aplikacji. W praktyce oznacza to możliwość utraty poufności danych, naruszenia integralności procesów biznesowych, podmiany logiki automatyzacji, wdrożenia tylnej furtki oraz użycia zainfekowanego hosta do dalszych działań ofensywnych.

Dla organizacji korzystających z Flowise do obsługi klientów, automatyzacji pracy z dokumentami lub orkiestracji agentów AI, skutki mogą obejmować zarówno incydent bezpieczeństwa, jak i poważne zakłócenia operacyjne. Platformy AI powinny być więc traktowane jako pełnoprawny element powierzchni ataku przedsiębiorstwa.

Rekomendacje

Podstawowym działaniem jest natychmiastowa aktualizacja Flowise co najmniej do wersji 3.0.6, a najlepiej do nowszego, wspieranego wydania. Samo wdrożenie poprawki nie powinno jednak kończyć procesu reakcji, ponieważ w części środowisk mogło już dojść do prób kompromitacji.

  • zweryfikować wszystkie publicznie dostępne instancje Flowise i ustalić ich wersje,
  • ograniczyć ekspozycję usługi do internetu, jeśli zdalny dostęp nie jest konieczny,
  • wdrożyć segmentację sieci i dodatkowe kontrole dostępu do paneli administracyjnych,
  • przeprowadzić rotację kluczy API, tokenów i innych poświadczeń przechowywanych w aplikacji,
  • przeanalizować logi pod kątem zmian konfiguracji, podejrzanych żądań i nietypowych procesów,
  • zastosować zasadę najmniejszych uprawnień dla kontenerów, hostów i wolumenów,
  • wdrożyć reguły detekcyjne dla prób wstrzyknięcia kodu i anomalii w konfiguracjach MCP,
  • objąć platformy AI regularnym procesem zarządzania podatnościami i monitoringu bezpieczeństwa.

W praktyce organizacje powinny założyć, że środowiska AI przechowują cenne sekrety oraz szerokie integracje. Dlatego po wykryciu podatnej instancji konieczne jest nie tylko patchowanie, ale także ocena potencjalnej kompromitacji i zakresu dostępu, jaki mógł uzyskać napastnik.

Podsumowanie

Aktywna eksploatacja CVE-2025-59528 pokazuje, że platformy do budowy agentów AI stają się atrakcyjnym celem cyberprzestępców. Luka w Flowise umożliwia niebezpieczne wykonanie kodu przez błędną obsługę konfiguracji CustomMCP, a skutki udanego ataku mogą wykraczać daleko poza samą aplikację.

Dla zespołów bezpieczeństwa najważniejsze działania to szybka aktualizacja, ograniczenie ekspozycji do internetu, weryfikacja logów oraz rotacja sekretów. W środowiskach produkcyjnych Flowise powinien być traktowany jak krytyczny komponent infrastruktury aplikacyjnej, a nie jedynie pomocnicze narzędzie dla zespołów rozwijających rozwiązania AI.

Źródła

  1. Max severity Flowise RCE vulnerability now exploited in attacks — https://www.bleepingcomputer.com/news/security/max-severity-flowise-rce-vulnerability-now-exploited-in-attacks/
  2. NVD – CVE-2025-59528 — https://nvd.nist.gov/vuln/detail/CVE-2025-59528
  3. Flowise Releases — https://github.com/FlowiseAI/Flowise/releases
  4. FlowiseAI/Flowise Repository — https://github.com/FlowiseAI/Flowise