Penjelasan teknis
Kerentanan injeksi kode dalam CustomMCP Node Flowise memungkinkan penyerang jarak jauh menjalankan kode arbitrer tanpa autentikasi. Node CustomMCP mengurai string mcpServerConfig yang disediakan pengguna tanpa validasi keamanan, memungkinkan akses ke modul Node.js berbahaya termasuk child_process (eksekusi perintah) dan fs (akses sistem file) dengan hak istimewa runtime penuh. Eksploitasi in-the-wild pertama yang dikonfirmasi terdeteksi dari IP Starlink pada awal April 2026; antara 12.000–15.000 instance yang belum ditambal tetap dapat dijangkau di internet. Secara kritis, instance Flowise biasanya menyimpan kunci API untuk OpenAI, Anthropic, Azure OpenAI, dan penyedia LLM lainnya — eksploitasi yang berhasil memberikan akses ke semua layanan AI hilir.
Vektor serangan
Penyerang jarak jauh tanpa autentikasi mengirimkan permintaan HTTP yang dirancang ke endpoint node CustomMCP dengan payload mcpServerConfig berbahaya. Tidak ada kredensial atau akses sebelumnya yang diperlukan. Eksploitasi memberikan eksekusi perintah sistem penuh dan akses ke semua rahasia yang disimpan dalam instance Flowise.
Sistem yang terdampak
Versi Flowise sebelum 3.1.1. Penerapan Flowise apa pun yang mengekspos node CustomMCP ke input yang tidak dipercaya.
Mitigasi
Tingkatkan ke versi Flowise 3.1.1 segera. Audit instance yang terekspos untuk indikator kompromi (koneksi keluar yang tidak biasa, panggilan API yang tidak terduga ke penyedia LLM). Rotasi semua kunci API yang disimpan dalam instance Flowise yang dikompromikan atau berpotensi dikompromikan. Jangan ekspos antarmuka admin Flowise ke internet publik tanpa kontrol autentikasi.