Impatto Sistemico

Alto (70.51)

Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2025-61913 – già sanata dal vendor – presente in Flowise, piattaforma open-source con interfaccia drag & drop per costruire flussi personalizzati basati su modelli linguistici di grandi dimensioni (LLM). Tale vulnerabilità riguarda il componente WriteFileTool di Flowise che potrebbe consentire ad un utente malintenzionato autenticato remoto di creare file e di eseguire codice arbitrario sui sistemi target.

Tipologia

• Arbitrary File Write
• Remote Code Execution

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2025-61913 – di tipo “Arbitrary File Write” con score CVSS v3.x pari a 10 – che interessa il componente WriteFileTool ¹ della piattaforma. La vulnerabilità interessa il parametro file_path per l’esportazione dell’output: a causa di meccanismi di controllo non adeguati, risulterebbe possibile la creazione di file all’esterno della directory di lavoro di Flowise, portando potenzialmente all’esecuzione remota di comandi sui sistemi target.

Prodotti e/o versioni affette

Flowise

• versioni precedenti alla 3.0.5

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.

^[1] WriteFileTool è un componente che permette la scrittura di file nel filesystem sul sistema in cui Flowise è in esecuzione.