事件经过
Flowise 3.1.2 之前包含自定义 MCP 服务器功能中的多个 OS 命令注入漏洞。不完整的命令标志验证和对本地文件访问限制正则表达式的绕过允许任何经过身份验证的 Flowise 用户(任何角色)或具有查看/更新权限的 API 用户注入由服务器执行的任意 OS 命令。CVSS 9.9 严重,发布于 2026-06-23。
影响分析
Flowise 是一个广泛使用的无代码 LLM 代理构建器。MCP 集成是一个主要用例。这意味着任何低权限 Flowise 账户持有者 — 包括 API 集成 — 可以通过 MCP 功能实现完整的服务器 RCE,危害底层主机、所有存储的凭证、连接的数据源和代理工具访问。
攻击途径
经过身份验证的 HTTP 请求到自定义 MCP 服务器配置端点,带有精心设计的命令标志或正则表达式绕过有效负载;OS 命令以 Flowise 服务器进程身份执行
受影响系统
Flowise < 3.1.2
缓解措施
升级到 Flowise 3.1.2。公告:https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-m99r-2hxc-cp3q