Apa yang terjadi
Flowise sebelum 3.1.2 berisi beberapa kerentanan injeksi perintah OS di fitur Custom MCP Server. Validasi flag perintah yang tidak lengkap dan bypass dari batasan akses file lokal regex memungkinkan pengguna Flowise yang terautentikasi (peran apa pun) atau pengguna API dengan izin tampilan/perbaruan untuk menyuntikkan perintah OS arbitrer yang dijalankan oleh server. CVSS 9.9 Critical, dipublikasikan 2026-06-23.
Mengapa penting
Flowise adalah pembangun agen LLM tanpa kode yang banyak digunakan. Integrasi MCP adalah kasus penggunaan utama. Ini berarti pemegang akun Flowise dengan hak istimewa rendah apa pun — termasuk integrasi API — dapat mencapai RCE server penuh melalui fitur MCP, mengorbankan host yang mendasar, semua kredensial yang disimpan, sumber data yang terhubung, dan akses alat agen.
Vektor serangan
Permintaan HTTP terautentikasi ke titik akhir konfigurasi Custom MCP Server dengan bendera perintah yang dirancang atau muatan bypass regex; perintah OS dijalankan sebagai proses server Flowise
Sistem yang terdampak
Flowise < 3.1.2
Mitigasi
Tingkatkan ke Flowise 3.1.2. Pemberitahuan: https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-m99r-2hxc-cp3q