技术说明
VulnCheck 研究人员在 2026 年 4 月初确认了对 Flowise 的 CustomMCP 节点中最高严重性 (CVSS 10.0) 代码注入漏洞的活跃利用。尽管该漏洞已在 2025 年 9 月修补 (版本 3.0.6),但仍有 12,000–15,000 个实例在线暴露。该漏洞允许在 MCP 服务器配置解析期间执行 JavaScript 代码,且无安全验证。
攻击途径
攻击者通过 CustomMCP 节点配置注入恶意代码,获得对 child_process (命令执行) 和 fs (文件系统) 的访问权限,具有完整的 Node.js 运行时特权。Flowise 实例通常保存着 OpenAI、Anthropic、Azure OpenAI 的 API 密钥,以及数据库和内部系统的凭据。
受影响系统
Flowise 3.0.6 之前的版本。所有使用 Flowise 进行 AI 代理工作流程且集成 MCP 服务器的组织都面临风险。
缓解措施
立即升级 Flowise 到版本 3.0.6 或更高版本。审计暴露的 Flowise 实例以查找入侵迹象。轮换存储在 Flowise 中的所有 API 密钥和凭据。限制 Flowise 实例暴露于公共互联网。