CVE-2026-40933: Критична вразливість у Flowise дозволяє виконання довільних команд
Критична вразливість CVE-2026-40933 у Flowise дозволяє аутентифікованим користувачам виконувати довільні команди. Оновіть до версії 3.1.0.
- CVSS
- 9.9 CRITICAL
- EPSS
- 78.2%
- Активно використовується
- немає в KEV
- Продукт
- flowise
Що відомо
У Flowise до версії 3.1.0 існувала критична вразливість, пов’язана з небезпечним серіалізацією stdio команд у MCP адаптері. Аутентифікований зловмисник міг додати MCP stdio сервер з довільною командою, що призводило до виконання коду на сервері.
Бізнес-вплив
Ця вразливість може дозволити зловмисникам з аутентифікацією виконувати довільні команди на сервері, що може призвести до компрометації системи, втрати даних або порушення роботи сервісу. Власникам інфраструктури слід розглянути ризики, пов’язані з використанням версій Flowise до 3.1.0, особливо якщо застосунок доступний у внутрішніх або публічних мережах.
Рекомендовані дії адміністратора
Рекомендується оновити Flowise до версії 3.1.0 або новішої, де ця вразливість усунена. Якщо оновлення наразі неможливе, слід обмежити доступ до інтерфейсу конфігурації MCP, переглянути журнали на предмет підозрілої активності та мінімізувати права користувачів. Також варто регулярно перевіряти оновлення від виробника та впроваджувати багатофакторну аутентифікацію.