CVE-2025-57164

Nome do Software Vulnerável e Versões Afetadas Versões do Flowise até a 3.0.4

Descrição O FlowiseAI está susceptível à execução remota de código devido à falta de sanitização de entrada dentro do componente "Supabase RPC Filter". Um administrador autenticado pode injetar payloads maliciosos no campo supabaseRPCFilter, levando à execução de código arbitrário no lado do servidor. Isso é conseguido através do uso da função execSync() do JavaScript, permitindo ações como o lançamento de reverse shells, acesso a segredos de ambiente e execução de comandos de nível de sistema operacional. O componente vulnerável está localizado em packages/components/nodes/vectorstores/Supabase/Supabase.ts#L237. A exploração envolve criar uma expressão de filtro para acionar a execução de código, potencialmente levando ao comprometimento total do servidor e exposição de informações sensíveis como o JWT REFRESH TOKEN SECRET. A vulnerabilidade viola a fronteira de confiança entre a entrada do frontend e a lógica de execução do backend, relacionando-se especificamente ao OWASP LLM Top 10 - LLM-06: Sensitive Code Execution.

Recomendações Versões anteriores à 3.0.4 estão afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.