




























Alert
AL04/260408/CSIRT-ITA
Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-59528 – già sanata dal vendor – presente in Flowise, piattaforma open-source con interfaccia drag & drop per costruire flussi personalizzati basati su modelli linguistici di grandi dimensioni (LLM).
Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un attore malevolo di eseguire codice arbitrario da remoto sui sistemi interessati, con possibile accesso al file system e compromissione completa dell’istanza applicativa.
Remote Code Execution
È stato recentemente rilevato lo sfruttamento attivo della vulnerabilità identificata tramite la CVE-2025-59528, di tipo “Code Injection” e con score CVSS v3.x pari a 10.0, presente presente nel nodo CustomMCP di Flowise.
La vulnerabilità è causata da un’inadeguata validazione dell’input fornito dall’utente tramite il parametro mcpServerConfig, gestito dall’endpoint /api/v1/node-load-method/customMCP. Nel dettaglio, il contenuto di tale parametro, elaborato dalla funzione convertToValidJSONString e successivamente passato al costruttore Function(), consente l’esecuzione di codice JavaScript arbitrario nel contesto del runtime Node.js.
Un eventuale sfruttamento della vulnerabilità potrebbe consentire a un attore malevolo di l’accesso a moduli sensibili, tra cui child_process e fs, con conseguente esecuzione di comandi sul sistema target.
Flowise, versioni precedenti alla 3.0.6
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 08-04-2026 | 08/04/2026 |
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。