Apa yang terjadi
Flowise sebelum 2.1.4 mengekspos opsi overrideConfig di widget obrolan web frontend dan API Prediksi backend yang diaktifkan secara default. Karena tidak ada daftar izin variabel yang diizinkan dan fitur bergantung pada sandbox vm2 (yang memiliki jalur pelarian yang diketahui), penyerang dapat menyuntikkan konfigurasi arbitrer ke dalam Chainflow yang sedang berjalan. Ini memungkinkan eksekusi kode jarak jauh dan pelarian sandbox, denial-of-service melalui kerusakan server, SSRF ke endpoint internal, prompt injection ke LLM yang mendasar, dan eksfilitrasi variabel/data server. NVD menerbitkan CVE pada 2026-06-20 pada CVSS 9.8 Kritis.
Mengapa penting
Flowise adalah salah satu platform low-code yang paling banyak di-host sendiri untuk membangun agen LLM, pipeline RAG, dan alur kerja agentic. Satu permintaan tanpa autentikasi dapat memberi penyerang kontrol penuh terhadap host yang menjalankan agen AI, akses ke semua kunci API LLM yang dikonfigurasi dan kredensial basis data vektor, dan kemampuan untuk diam-diam mengarahkan ulang atau memanipulasi setiap respons AI yang dihasilkan platform.
Vektor serangan
Penyerang mengirimkan POST yang dirancang ke API Prediksi (atau menyematkan muatan di widget obrolan frontend) dengan badan overrideConfig yang menyuntikkan konfigurasi ke dalam Chainflow pada waktu eksekusi; karena tidak ada daftar izin yang membatasi variabel mana yang dapat dipublikasikan, sandbox vm2 dapat dilewati untuk mencapai RCE tingkat OS, memicu SSRF ke layanan internal, mengeksfilitrasi variabel sisi server, atau menyuntikkan prompt berbahaya ke dalam rantai LLM
Sistem yang terdampak
Flowise < 2.1.4
Mitigasi
Tingkatkan ke Flowise 2.1.4 atau lebih baru. Penasihat: https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-5cph-wvm9-45gj