기술 설명
VulnCheck 연구자들이 2026년 4월 초 Flowise의 CustomMCP 노드에서 최고 심각도(CVSS 10.0) 코드 인젝션 취약점의 적극적인 악용을 확인했습니다. 2025년 9월에 패치되었음에도 불구하고(버전 3.0.6), 12,000~15,000개의 인스턴스가 온라인에 노출된 상태입니다. 이 취약점은 보안 검증 없이 MCP 서버 구성 파싱 중에 JavaScript 코드 실행을 허용합니다.
공격 경로
공격자들은 CustomMCP 노드 구성을 통해 악성 코드를 주입하여 child_process(명령 실행)와 fs(파일 시스템)에 대한 접근 권한을 완전한 Node.js 런타임 권한으로 획득합니다. Flowise 인스턴스는 일반적으로 OpenAI, Anthropic, Azure OpenAI의 API 키와 데이터베이스 및 내부 시스템의 자격증명을 보유하고 있습니다.
영향받는 시스템
3.0.6 이전의 Flowise 버전. MCP 서버 통합과 함께 AI 에이전트 워크플로우를 위해 Flowise를 사용하는 모든 조직이 위험에 처해 있습니다.
완화 방안
Flowise를 3.0.6 버전 이상으로 즉시 업그레이드하십시오. 노출된 Flowise 인스턴스에 대해 손상 지표를 감시하십시오. Flowise에 저장된 모든 API 키 및 자격증명을 회전하십시오. Flowise 인스턴스를 공개 인터넷 노출로부터 제한하십시오.