Penjelasan teknis
Peneliti Obsidian Security mengungkapkan kerentanan eksekusi kode jarak jauh satu klik di Flowise, platform alur kerja agen AI sumber terbuka dengan 52.000+ bintang GitHub. Akar penyebabnya adalah bahwa transportasi stdio Custom MCP adalah primitif eksekusi kode — ia menjalankan perintah yang dikonfigurasi sebagai proses anak. Ketika pengguna yang berwenang mengimpor artefak chatflow yang dirancang, konfigurasi stdio MCP diproses segera, memicu eksekusi perintah OS sisi server yang arbitrer tanpa interaksi pengguna tambahan apa pun. Flowise Cloud tidak terpengaruh karena stdio MCP dinonaktifkan di sana; instalasi Flowise yang dihosting sendiri menggunakan Custom MCP adalah permukaan yang terpengaruh.
Vektor serangan
Penyerang membuat ekspor chatflow Flowise berbahaya (artefak JSON) dan meyakinkan pengguna yang berwenang untuk mengimpornya melalui antarmuka impor chatflow normal. Impor saja — sebelum alur kerja dijalankan — memicu eksekusi sisi server. Serangan dapat disampaikan melalui tautan chatflow bersama, kompromi rantai pasokan template chatflow, atau rekayasa sosial.
Sistem yang terdampak
Instalasi Flowise yang dihosting sendiri dengan Custom MCP diaktifkan (transportasi stdio). Flowise Cloud (layanan yang dihosting flowise.ai) secara eksplisit tidak terpengaruh. Mempengaruhi versi Flowise sebelum patch; periksa pengungkapan vendor untuk rentang versi yang tepat.
Mitigasi
Nonaktifkan stdio MCP di Flowise yang dihosting sendiri: atur `CUSTOM_MCP_PROTOCOL=sse` (transportasi SSE tidak menjalankan proses lokal). Batasi impor chatflow hanya kepada administrator terpercaya. Isolasi proses server Flowise dalam kontainer tanpa akses sistem file atau kredensial host. Pantau pemijahan proses anak dari proses Node.js Flowise. Terapkan patch vendor saat tersedia.