У предприятий, использующих легковесную платформу Flowise с открытым исходным кодом для поддержки локальных рабочих нагрузок ИИ, появилась новая проблема с почти максимальной степенью серьезности, вызывающая беспокойство.
Исследователи из Obsidian Security подробно описали уязвимость удаленного выполнения кода (RCE) с возможностью эксплуатации в один клик, затрагивающую локальные развертывания Flowise через реализацию серверов stdio протокола Model Context Protocol (MCP).
Проблема, по сути, заключается в сбое изоляции (sandboxing) конфигураций MCP, контролируемых злоумышленником, что приводит к выполнению кода на стороне сервера.
«RCE после аутентификации в Flowise может быть запущен одним кликом через вредоносный импорт chatflow до какого-либо сохранения или запуска», — заявили исследователи в посте в блоге. «Официальный патч полагается на проверку входных данных, которую легко обойти, и не устраняет коренную причину проблемы».
Flowise обычно используется для разработки внутренних ИИ-помощников, приложений с генерацией дополненного поиска (RAG), чат-ботов для клиентов и автономных агентов, подключенных к бизнес-системам.
Уязвимость не затрагивает Flowise Cloud, поскольку там отключен stdio MCP. Для остальных случаев, когда эта функция включена и абсолютно необходима, существует компромисс между безопасностью и функциональностью, который разработчики должны понимать и активно проверять конфигурации серверов на предмет возможных угроз, пояснили исследователи.
RCE в один клик затрагивает все, до чего может дотянуться Flowise
Уязвимость, отслеживаемая как CVE-2026-40933, затрагивает реализацию серверов MCP stdio в Flowise. Stdio в MCP предназначен для запуска локальных серверных процессов и взаимодействия с ними через стандартные потоки ввода и вывода, что позволяет ИИ-агентам работать с файлами, репозиториями Git, базами данных, браузерами и локальными учетными данными.
По данным Obsidian Security, проблема заключается в том, что Flowise позволяет пользователям настраивать серверы MCP stdio, содержащие произвольные команды. Поскольку эти команды в конечном итоге выполняются базовой операционной системой, злоумышленник может добиться удаленного выполнения кода с привилегиями процесса Flowise.
В контейнеризованных развертываниях, отметили исследователи, это может фактически предоставить доступ на уровне root к среде, где размещена платформа.
Уязвимости присвоен рейтинг CVSS 9.9; успешная компрометация потенциально может привести к раскрытию ключей API, баз данных, облачных ресурсов, SaaS-приложений и других активов, доступных через Flowise.
Исследователи считают, что исправления недостаточны
В сообщении подробно описан ряд мер по устранению уязвимости, предпринятых Flowise для ограничения того, как могут быть настроены и выполнены команды MCP stdio. Однако, по мнению Obsidian, каждая итерация в основном полагалась на механизмы проверки и фильтрации команд, которые могут быть обойдены при определенных условиях.
«Flowise, по-видимому, признала риск и укрепила Custom MCP в ходе нескольких раундов», — отметили исследователи. «#5232 представил CUSTOM_MCP_SECURITY_CHECK — уровень проверки для конфигураций Custom MCP, включенный по умолчанию». Хотя эти проверки уменьшили очевидные пути выполнения команд, они мало что сделали для изменения основной угрозы, связанной с разрешением пользователям предоставлять конфигурации stdio MCP», — заявили они.
Сообщение Obsidian об уязвимости спровоцировало дальнейшее ужесточение функции с проверкой флагов в обновлениях #5741 и #5943. Они также не устранили угрозу полностью.
Когда Flowise попросили сделать stdio MCP небезопасным по умолчанию и потребовать явного согласия (opt-in), компания, как сообщается, заявила, что хочет «ограничить то, что мы считаем плохим, не отключая полностью функции, на которые могут полагаться пользователи». Obsidian предоставила код эксплойта proof of concept (POC), демонстрирующий, как текущие защиты Flowise все еще могут быть обойдены для успешного RCE.
Единственной полной мерой смягчения последствий, рекомендованной исследователями, является отключение MCP stdio путем установки «CUSTOM_MCP_PROTOCOL=sse». Для тех, кто не может этого сделать, не препятствуя работе, исследователи добавили, что закрепление доверенных пакетов, где это возможно, и проверка импортированных chatflow из ненадежных источников могут помочь.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
