В мире открытого программного обеспечения для искусственного интеллекта сложилась опасная ситуация, которая затрагивает как корпоративных пользователей, так и разработчиков. Активно эксплуатируется критическая уязвимость в Flowise - популярной платформе с открытым исходным кодом для создания и развертывания приложений на базе больших языковых моделей. Проблема, получившая идентификатор CVE-2025-59528, оценивается по шкале CVSS в максимальные 10.0 баллов, что подчеркивает исключительную серьезность угрозы. Уязвимость позволяет удаленным злоумышленникам выполнять произвольный код и получать полный контроль над серверами, где развернута уязвимая версия платформы. По оценкам исследователей, до 15 000 экземпляров Flowise остаются доступными в публичном интернете, создавая обширное поле для потенциальных атак.
Суть уязвимости: ошибка в обработке конфигураций
Коренная причина проблемы кроется в механизме обработки внешних конфигураций серверов внутри платформы, а именно в узле CustomMCP (Model Context Protocol - протокол контекста модели). Когда пользователь вводит параметры конфигурации для подключения к внешнему серверу, приложение обрабатывает эти данные через специальную функцию для формирования итоговой настройки. Ключевая ошибка заключается в том, что введенный пользователем текст оценивается системой как код JavaScript без применения каких-либо фильтров безопасности. Вместо безопасной обработки строки, система передает ввод напрямую в конструктор "Function()" среды выполнения Node.js.
Поскольку это выполнение происходит с полными привилегиями среды выполнения, злоумышленник может с легкостью составить вредоносные команды, получающие доступ к критически важным системным модулям, таким как файловая система и дочерние процессы. Для успешной атаки требуется минимальное усилие: достаточно отправить специально сформированный сетевой запрос к уязвимой конечной точке API. Как только сервер обработает вредоносную строку конфигурации, полезная нагрузка выполняется в фоновом режиме, предоставляя атакующему возможность удаленного выполнения кода. В демонстрационном примере исследователи показали, как один веб-запрос может заставить сервер выполнить произвольные команды оболочки и создать несанкционированные файлы в системе.
Кибербезопасность перешла от стадии теоретической угрозы к практической реализации. Компания VulnCheck, специализирующаяся на анализе уязвимостей, недавно зафиксировала первые случаи активной эксплуатации именно этой уязвимости в реальных условиях. Согласно данным их сети раннего предупреждения, первоначальная волна атак исходила с одного IP-адреса, принадлежащего сети Starlink. Успешная эксплуатация этой уязвимости внедрения кода ведет к катастрофическим последствиям для любой организации. Во-первых, происходит полная компрометация базовой хост-системы, на которой работает Flowise. Это открывает путь к несанкционированному чтению и записи в файловую систему, что может привести к хищению конфиденциальных данных, включая внутренние бизнес-документы, базы данных и персональную информацию клиентов.
Кроме того, атакующий получает возможность скрытного выполнения опасных команд на уровне операционной системы. Такие действия могут варьироваться от установки программ-вымогателей или майнеров криптовалюты до создания скрытых точек закрепления в системе для долгосрочного доступа. Важно отметить, что это не первый случай, когда злоумышленники выбирают Flowise в качестве цели. Другие серьезные уязвимости платформы, такие как CVE-2025-8943 и CVE-2025-26319, также подвергались активной эксплуатации в последние месяцы, что указывает на пристальное внимание хакерского сообщества к этому инструменту.
Проблема затрагивает Flowise версий 3.0.5 и более ранние. Команда разработчиков уже официально устранила уязвимость, выпустив исправленную версию 3.0.6. В данном контексте для администраторов и команд информационной безопасности первостепенной задачей становится немедленное обновление всех развернутых экземпляров Flowise до патченной версии. Промедление с установкой обновления при наличии публично доступного экземпляра практически гарантирует взлом системы, учитывая активное сканирование и эксплуатацию, которые уже фиксируются в сети.
Ситуация с CVE-2025-59528 служит очередным напоминанием об особых рисках, связанных с компонентами, выполняющими динамическую оценку кода, особенно когда они обрабатывают непроверенные пользовательские входные данные. Для организаций, использующих подобные платформы с открытым исходным кодом, критически важно внедрять практики безопасной разработки и оперативного управления обновлениями. Регулярный аудит конфигураций, минимизация поверхности атаки путем ограничения доступа к административным интерфейсам только из доверенных сетей и мониторинг необычной активности на серверах - это базовые меры, которые могли бы смягчить последствия даже в случае запаздывания с установкой патча. Текущий инцидент подчеркивает, что популярность и мощь инструментов для работы с ИИ делают их лакомой целью, а безопасность их развертывания должна быть в центре внимания с самого начала.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-59528
- https://www.cve.org/CVERecord?id=CVE-2025-8943
- https://www.cve.org/CVERecord?id=CVE-2025-26319
- https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-3gcm-f6qx-ff7p
- https://research.jfrog.com/vulnerabilities/flowise-os-command-remote-code-execution-jfsa-2025-001380578/
- https://www.linkedin.com/feed/update/urn:li:activity:7446686314562850817/
- https://github.com/dorattias/CVE-2025-26319
