무슨 일이 있었나
Flowise 버전 2.2.7-patch.1 이하는 로컬 MCP 서버를 실행하기 위해 OS 명령을 실행하도록 설계된 커스텀 MCP 기능에 샌드박스 우회 RCE 취약점을 포함하고 있습니다. Flowise의 인증 모델이 최소한이고 인증이 기본적으로 비활성화되어 있기 때문에, 인증되지 않은 공격자는 내부 요청 헤더를 위장하고 Flowise 프로세스의 권한으로 실행되는 임의의 OS 명령을 공급하여 완전한 컨테이너 손상을 달성할 수 있습니다.
왜 중요한가
Flowise는 널리 배포된 코드 없는 LLM/에이전트 오케스트레이션 플랫폼입니다. MCP 기능은 신뢰할 수 있는 로컬 사용을 위한 것이지만 샌드박스 없이 직접 OS 명령 실행 경로를 노출합니다. 인증되지 않은 악용은 네트워크에 도달할 수 있는 모든 Flowise 인스턴스가 전체 RCE 대상임을 의미합니다. 공격자는 모든 임베드된 API 키, 모델 설정 및 에이전트 도구 자격 증명을 유출하거나 연결된 서비스로 피벗할 수 있습니다.
공격 경로
공격자는 헤더 'x-request-from: internal'과 함께 /api/v1/node-load-method/customMCP 엔드포인트로 제작된 JSON 페이로드를 전송합니다. 자격 증명이 필요하지 않습니다. 커스텀 MCP 기능은 샌드박스 없이 OS 명령을 직접 실행하여 완전한 컨테이너/서버 손상을 초래합니다.
영향받는 시스템
Flowise ≤ 2.2.7-patch.1 (3.0.6에서 수정됨)
완화 방안
Flowise 3.0.6으로 업그레이드하세요. 권고사항: https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-6933-jpx5-q87q