Apa yang terjadi
Flowise versi hingga 2.2.7-patch.1 mengandung kerentanan RCE unsandboxed di fitur Custom MCP, yang dirancang untuk mengeksekusi perintah OS guna meluncurkan server MCP lokal. Karena model autentikasi Flowise minimal dan autentikasi dinonaktifkan secara default, penyerang yang tidak terautentikasi dapat menyamar sebagai permintaan internal dan memberikan perintah OS arbitrer yang dieksekusi dengan hak istimewa proses Flowise, mencapai kompromi kontainer penuh.
Mengapa penting
Flowise adalah platform orkestrasi LLM/agent no-code yang luas digunakan. Fitur MCP dimaksudkan untuk penggunaan lokal terpercaya tetapi mengekspos jalur eksekusi perintah OS langsung tanpa sandboxing. Eksploitasi tanpa autentikasi berarti setiap instans Flowise yang dapat dijangkau jaringan adalah target RCE penuh — penyerang dapat mengekstrak semua API key tersemat, konfigurasi model, dan kredensial alat agen, atau bergerak lateral ke layanan terhubung.
Vektor serangan
Penyerang mengirimkan payload JSON yang dirancang dengan header 'x-request-from: internal' ke endpoint /api/v1/node-load-method/customMCP; tidak ada kredensial yang diperlukan. Fitur Custom MCP mengeksekusi perintah OS langsung tanpa sandboxing, menghasilkan kompromi kontainer/server penuh.
Sistem yang terdampak
Flowise ≤ 2.2.7-patch.1 (diperbaiki di 3.0.6)
Mitigasi
Tingkatkan ke Flowise 3.0.6. Advisory: https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-6933-jpx5-q87q