Krytyczna luka w flowise umożliwiająca wykonanie dowolnego polecenia

CVE-2026-40933 to krytyczna luka w flowise umożliwiająca wykonanie dowolnego polecenia. Zalecana natychmiastowa aktualizacja do wersji 3.1.0.
CVE-2026-40933CVSS 9.9General

Krytyczna luka w flowise umożliwiająca wykonanie dowolnego polecenia

CVE-2026-40933 to krytyczna luka w flowise umożliwiająca wykonanie dowolnego polecenia. Zalecana natychmiastowa aktualizacja do wersji 3.1.0.

CVSS
9.9 CRITICAL
EPSS
78.2%
Aktywnie wykorzystywana
brak w KEV
Produkt
flowise

Co wiadomo

W flowise przed wersją 3.1.0 istnieje krytyczna luka umożliwiająca uwierzytelnionemu atakującemu wykonanie dowolnego polecenia na systemie operacyjnym poprzez niebezpieczną serializację poleceń stdio w adapterze MCP. Luka wynika z błędów w walidacji danych wejściowych w konfiguracji „Custom MCP”.

Wpływ biznesowy

Luka o wysokim poziomie ryzyka (CVSS 9.9) pozwala na zdalne wykonanie kodu przez atakującego z dostępem do interfejsu flowise, co może prowadzić do przejęcia kontroli nad infrastrukturą IT. Operatorzy powinni traktować tę podatność jako krytyczną i priorytetowo wdrożyć poprawki lub środki zaradcze, aby zapobiec potencjalnym incydentom bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie flowise do wersji 3.1.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do interfejsu konfiguracyjnego MCP, przeprowadź przegląd logów pod kątem podejrzanej aktywności oraz zweryfikuj konfiguracje zabezpieczeń. Regularnie monitoruj dostęp i stosuj zasady minimalnych uprawnień.

Źródła