Impatto Sistemico

Critico (79.48)

Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-59528 – già sanata dal vendor – presente in Flowise, piattaforma open-source con interfaccia drag & drop per costruire flussi personalizzati basati su modelli linguistici di grandi dimensioni (LLM).

Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un attore malevolo di eseguire codice arbitrario da remoto sui sistemi interessati, con possibile accesso al file system e compromissione completa dell’istanza applicativa.

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

È stato recentemente rilevato lo sfruttamento attivo della vulnerabilità identificata tramite la CVE-2025-59528 , di tipo “ Code Injection ” e con score CVSS v3.x pari a 10.0, presente presente nel nodo CustomMCP di Flowise.

La vulnerabilità è causata da un’inadeguata validazione dell’input fornito dall’utente tramite il parametro mcpServerConfig , gestito dall’endpoint /api/v1/node-load-method/customMCP . Nel dettaglio, il contenuto di tale parametro, elaborato dalla funzione convertToValidJSONString e successivamente passato al costruttore Function() , consente l’esecuzione di codice JavaScript arbitrario nel contesto del runtime Node.js.

Un eventuale sfruttamento della vulnerabilità potrebbe consentire a un attore malevolo di l’accesso a moduli sensibili, tra cui child_process e fs , con conseguente esecuzione di comandi sul sistema target.

Prodotti e versioni affette

Flowise, versioni precedenti alla 3.0.6

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.