무슨 일이 있었나
2.1.4 이전의 Flowise는 프론트엔드 웹 채팅 위젯과 백엔드 Prediction API에서 기본적으로 활성화되는 overrideConfig 옵션을 노출합니다. 허용된 변수의 화이트리스트가 없고 이 기능이 알려진 탈출 경로가 있는 vm2 샌드박스에 의존하기 때문에, 공격자는 실행 중인 Chainflow에 임의의 구성을 삽입할 수 있습니다. 이로 인해 원격 코드 실행 및 샌드박스 탈출, 서버 충돌을 통한 서비스 거부, 내부 엔드포인트로의 SSRF, 기본 LLM으로의 프롬프트 주입, 서버 변수/데이터 유출이 가능합니다. NVD는 2026년 6월 20일 CVSS 9.8 Critical에서 CVE를 게시했습니다.
왜 중요한가
Flowise는 LLM 에이전트, RAG 파이프라인 및 에이전트 워크플로우를 구축하기 위해 가장 광범위하게 자체 호스팅되는 로우코드 플랫폼 중 하나입니다. 단 하나의 인증되지 않은 요청만으로도 공격자는 AI 에이전트를 실행하는 호스트를 완전히 제어할 수 있으며, 구성된 모든 LLM API 키 및 벡터 데이터베이스 자격증명에 액세스할 수 있으며, 플랫폼이 생성하는 모든 AI 응답을 자동으로 리디렉션하거나 조작할 수 있습니다.
공격 경로
공격자가 overrideConfig 본문으로 Prediction API에 제작된 POST를 보내거나(또는 프론트엔드 채팅 위젯에 페이로드를 포함) 실행 시간에 Chainflow에 구성을 주입합니다. 어떤 변수를 재정의할 수 있는지 제한하는 화이트리스트가 없기 때문에, vm2 샌드박스를 탈출하여 OS 수준 RCE를 달성하거나, 내부 서비스로 SSRF를 트리거하거나, 서버 측 변수를 유출하거나, LLM 체인에 악성 프롬프트를 주입할 수 있습니다.
영향받는 시스템
Flowise < 2.1.4
완화 방안
Flowise 2.1.4 이상으로 업그레이드하세요. 권고: https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-5cph-wvm9-45gj