技术说明
Flowise 的 CustomMCP Node 中存在代码注入漏洞,允许远程攻击者无需身份验证即可执行任意代码。CustomMCP 节点在没有安全验证的情况下解析用户提供的 mcpServerConfig 字符串,使攻击者能够访问危险的 Node.js 模块,包括 child_process(命令执行)和 fs(文件系统访问),并具有完整的运行时权限。首次确认的野外利用攻击于 2026 年 4 月初从一个 Starlink IP 地址被检测到;目前仍有 12,000-15,000 个未修补的实例可在互联网上访问。关键的是,Flowise 实例通常存储着 OpenAI、Anthropic、Azure OpenAI 和其他 LLM 提供商的 API 密钥 — 成功的漏洞利用将授予对所有下游 AI 服务的访问权限。
攻击途径
未经身份验证的远程攻击者向 CustomMCP 节点端点发送精心构造的 HTTP 请求,其中包含恶意的 mcpServerConfig 载荷。无需凭证或预先访问权限。漏洞利用可获得完整的系统命令执行权限以及对 Flowise 实例中存储的所有机密信息的访问权限。
受影响系统
Flowise 3.1.1 版本之前的所有版本。任何将 CustomMCP 节点暴露给不可信输入的 Flowise 部署。
缓解措施
立即升级到 Flowise 版本 3.1.1。审计暴露的实例以查找入侵指标(异常的出站连接、对 LLM 提供商的意外 API 调用)。轮换存储在已被入侵或可能被入侵的 Flowise 实例中的所有 API 密钥。不要在没有身份验证控制的情况下将 Flowise 管理界面暴露到公共互联网。