Krytyczna luka RCE w Flowise przed wersją 3.1.0
Flowise przed 3.1.0 podatny na zdalne wykonanie poleceń z uprawnieniami root. Zalecana szybka aktualizacja i monitorowanie systemu.
- CVSS
- 9.8 CRITICAL
- EPSS
- 96.06%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- flowise
Co wiadomo
Flowise, narzędzie do tworzenia modeli językowych metodą drag & drop, ma krytyczną lukę umożliwiającą zdalne wykonanie poleceń bez uwierzytelnienia. Luka pozwala na wykonanie dowolnych poleceń systemowych z uprawnieniami root w kontenerze Flowise poprzez pojedyncze żądanie HTTP.
Wpływ biznesowy
Dla operatorów IT i właścicieli infrastruktury kontenerowej korzystającej z Flowise przed wersją 3.1.0 istnieje ryzyko przejęcia kontroli nad instancją aplikacji. Atakujący może wykonywać polecenia z uprawnieniami root, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Flowise do wersji 3.1.0 lub nowszej. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do instancji Flowise, monitorować logi pod kątem nietypowej aktywności oraz przeprowadzić ocenę ryzyka i priorytetyzację działań zabezpieczających.