PT-2025-33147 · Flowise · Flowise
Assaf Levkovich
·
Publicado
2025-08-14
·
Atualizado
2026-04-07
·
CVE-2025-8943
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
Versões do Flowise anteriores à 3.0.1
Descrição
A funcionalidade Custom MCPs foi projetada para executar comandos do SO, por exemplo, utilizando ferramentas como
npx para iniciar servidores MCP locais. O modelo de autenticação e autorização do Flowise é mínimo e não possui controles de acesso baseados em função (RBAC). A instalação padrão opera sem autenticação, a menos que configurada explicitamente. Isso permite que atacantes de rede não autenticados executem comandos do SO sem sandbox por meio da funcionalidade Custom MCPs. A vulnerabilidade permite Execução Remota de Código (RCE).Recomendações
As versões do Flowise anteriores à 3.0.1 devem ser atualizadas para a versão 3.0.1 ou posterior.
Exploit
Correção
RCE
Missing Authentication
OS Command Injection
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Flowise