事件经过
Flowise 2.1.4 之前的版本在前端网络聊天小部件和后端预测 API 中都公开了 overrideConfig 选项,默认启用。由于没有允许列表来限制允许的变量,并且该功能依赖于 vm2 沙箱(已知有逃逸路径),攻击者可以将任意配置注入到运行中的 Chainflow。这使得远程代码执行和沙箱逃逸、通过服务器崩溃进行拒绝服务、向内部端点的 SSRF、向底层 LLM 进行提示注入以及服务器变量/数据泄露成为可能。NVD 在 2026-06-20 发布了此 CVE,CVSS 评分为 9.8 严重。
影响分析
Flowise 是最广泛自托管的低代码平台之一,用于构建 LLM 代理、RAG 管道和代理工作流。单个未经身份验证的请求可以使攻击者完全控制运行 AI 代理的主机、访问所有已配置的 LLM API 密钥和向量数据库凭证,以及能力以无声方式重定向或操纵平台生成的每个 AI 响应。
攻击途径
攻击者向预测 API 发送精心制作的 POST(或在前端聊天小部件中嵌入有效负载),其中包含在执行时将配置注入 Chainflow 的 overrideConfig 主体;由于没有允许列表限制可能被覆盖的变量,vm2 沙箱可以被逃逸以实现操作系统级 RCE、触发向内部服务的 SSRF、泄露服务器端变量或向 LLM 链注入恶意提示
受影响系统
Flowise < 2.1.4
缓解措施
升级到 Flowise 2.1.4 或更高版本。公告:https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-5cph-wvm9-45gj