Assaf Levkovich

Nome do Software Vulnerável e Versões Afetadas: Flowise JS (versões afetadas não especificadas) Descrição: Entrada controlada pelo usuário flui para uma implementação insegura de um construtor de Função dinâmico, permitindo que atacantes de rede executem código JS arbitrário sem sandbox no contexto do host ao enviar uma simples requisição POST. A vulnerabilidade permite a execução remota de código. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Flowise anteriores à 3.0.1 **Descrição** A funcionalidade Custom MCPs foi projetada para executar comandos do SO, por exemplo, utilizando ferramentas como `npx` para iniciar servidores MCP locais. O modelo de autenticação e autorização do Flowise é mínimo e não possui controles de acesso baseados em função (RBAC). A instalação padrão opera sem autenticação, a menos que configurada explicitamente. Isso permite que atacantes de rede não autenticados executem comandos do SO sem sandbox por meio da funcionalidade Custom MCPs. A vulnerabilidade permite Execução Remota de Código (RCE). **Recomendações** As versões do Flowise anteriores à 3.0.1 devem ser atualizadas para a versão 3.0.1 ou posterior.