Apa yang terjadi
Flowise sebelum 3.1.3 memvalidasi variabel lingkungan untuk node MCP Kustom terhadap denylist menggunakan perbandingan string peka huruf besar-kecil. Di Windows, nama variabel lingkungan peka huruf besar-kecil, jadi pengguna terautentikasi yang dapat mengonfigurasi node MCP Kustom dapat menyuplai 'node_options' (huruf kecil) untuk melewati entri denylist 'NODE_OPTIONS' dan menyuntikkan '--require' untuk memuat kode arbitrer dalam proses server Flowise. VulnCheck mengkonfirmasi bukti konsep ada (bikini/exploitarium). Diperbaiki di PR #6471, dirilis di Flowise 3.1.3.
Mengapa penting
Flowise adalah platform LLMOps/agent-flow sumber terbuka yang banyak digunakan. Setiap pengguna Flowise terautentikasi dengan akses konfigurasi node MCP Kustom — peran umum dalam penerapan self-hosted — dapat eskalasi ke RCE tingkat server pada instans Windows. Karena Flowise mengorkestra saluran LLM, server yang dikompromikan mengekspos semua kunci API, konfigurasi model, sumber data yang terhubung, dan riwayat percakapan untuk setiap alur di instans.
Vektor serangan
Pengguna terautentikasi dengan akses konfigurasi node MCP Kustom menetapkan variabel lingkungan 'node_options' (huruf kecil) dengan nilai '--require <malicious_module>'; denylist peka huruf besar-kecil Flowise melewatkannya; kode arbitrer berjalan dalam proses server Flowise pada node spawn
Sistem yang terdampak
Flowise ≥ 0, < 3.1.3 berjalan di Windows
Mitigasi
Perbarui ke Flowise 3.1.3 atau lebih baru. GitHub PR: https://github.com/FlowiseAI/Flowise/pull/6471