기술 설명
Flowise의 CustomMCP Node의 코드 인젝션 취약점으로 인해 원격 공격자가 인증 없이 임의의 코드를 실행할 수 있습니다. CustomMCP 노드는 사용자 제공 mcpServerConfig 문자열을 보안 검증 없이 파싱하여 child_process(명령 실행) 및 fs(파일 시스템 접근)를 포함한 위험한 Node.js 모듈에 전체 런타임 권한으로 접근할 수 있게 합니다. 첫 번째 확인된 실제 익스플로잇은 2026년 4월 초 Starlink IP에서 감지되었으며, 12,000~15,000개의 패치되지 않은 인스턴스가 인터넷에서 접근 가능한 상태로 남아 있습니다. 중요하게도, Flowise 인스턴스는 일반적으로 OpenAI, Anthropic, Azure OpenAI 및 기타 LLM 제공자의 API 키를 보유하고 있으므로, 성공적인 익스플로잇은 모든 다운스트림 AI 서비스에 대한 접근 권한을 부여합니다.
공격 경로
인증되지 않은 원격 공격자가 악의적인 mcpServerConfig 페이로드를 포함한 세밀한 HTTP 요청을 CustomMCP 노드 엔드포인트로 전송합니다. 자격 증명이나 사전 접근 권한이 필요하지 않습니다. 익스플로잇은 전체 시스템 명령 실행 및 Flowise 인스턴스에 저장된 모든 시크릿에 대한 접근 권한을 부여합니다.
영향받는 시스템
3.1.1 이전의 Flowise 버전입니다. CustomMCP 노드를 신뢰할 수 없는 입력에 노출하는 모든 Flowise 배포입니다.
완화 방안
즉시 Flowise 버전 3.1.1로 업그레이드하세요. 노출된 인스턴스에서 손상 지표 감사(비정상적인 아웃바운드 연결, LLM 제공자에 대한 예기치 않은 API 호출). 손상되었거나 잠재적으로 손상된 Flowise 인스턴스에 저장된 모든 API 키를 로테이션하세요. 인증 제어 없이 Flowise 관리자 인터페이스를 공개 인터넷에 노출하지 마세요.