Krytyczna luka RCE w Flowise przed wersją 3.1.0

Flowise przed 3.1.0 podatny na zdalne wykonanie poleceń z uprawnieniami root. Zalecana szybka aktualizacja i monitorowanie systemu.
CVE-2026-41268CVSS 9.8Containers

Krytyczna luka RCE w Flowise przed wersją 3.1.0

Flowise przed 3.1.0 podatny na zdalne wykonanie poleceń z uprawnieniami root. Zalecana szybka aktualizacja i monitorowanie systemu.

CVSS
9.8 CRITICAL
EPSS
96.06%
Aktywnie wykorzystywana
brak w KEV
Produkt
flowise

Co wiadomo

Flowise, narzędzie do tworzenia modeli językowych metodą drag & drop, ma krytyczną lukę umożliwiającą zdalne wykonanie poleceń bez uwierzytelnienia. Luka pozwala na wykonanie dowolnych poleceń systemowych z uprawnieniami root w kontenerze Flowise poprzez pojedyncze żądanie HTTP.

Wpływ biznesowy

Dla operatorów IT i właścicieli infrastruktury kontenerowej korzystającej z Flowise przed wersją 3.1.0 istnieje ryzyko przejęcia kontroli nad instancją aplikacji. Atakujący może wykonywać polecenia z uprawnieniami root, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Flowise do wersji 3.1.0 lub nowszej. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do instancji Flowise, monitorować logi pod kątem nietypowej aktywności oraz przeprowadzić ocenę ryzyka i priorytetyzację działań zabezpieczających.

Źródła