Krytyczna luka w flowise umożliwiająca wykonanie dowolnego polecenia
CVE-2026-40933 to krytyczna luka w flowise umożliwiająca wykonanie dowolnego polecenia. Zalecana natychmiastowa aktualizacja do wersji 3.1.0.
- CVSS
- 9.9 CRITICAL
- EPSS
- 78.2%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- flowise
Co wiadomo
W flowise przed wersją 3.1.0 istnieje krytyczna luka umożliwiająca uwierzytelnionemu atakującemu wykonanie dowolnego polecenia na systemie operacyjnym poprzez niebezpieczną serializację poleceń stdio w adapterze MCP. Luka wynika z błędów w walidacji danych wejściowych w konfiguracji „Custom MCP”.
Wpływ biznesowy
Luka o wysokim poziomie ryzyka (CVSS 9.9) pozwala na zdalne wykonanie kodu przez atakującego z dostępem do interfejsu flowise, co może prowadzić do przejęcia kontroli nad infrastrukturą IT. Operatorzy powinni traktować tę podatność jako krytyczną i priorytetowo wdrożyć poprawki lub środki zaradcze, aby zapobiec potencjalnym incydentom bezpieczeństwa.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie flowise do wersji 3.1.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do interfejsu konfiguracyjnego MCP, przeprowadź przegląd logów pod kątem podejrzanej aktywności oraz zweryfikuj konfiguracje zabezpieczeń. Regularnie monitoruj dostęp i stosuj zasady minimalnych uprawnień.