CSIRT Toscana FlowiseAI: PoC pubblico per lo sfruttamento della CVE-2026-40933 (AL01/260601/CSIRT-ITA)
Data:
1 Giugno 2026
Impatto Sistemico
Alto (66.53)
Sintesi
Disponibile un Proof of Concept (PoC) per la CVE-2026-40933 – già sanata dal vendor – presente in Flowise, piattaforma open-source con interfaccia drag & drop per costruire flussi personalizzati basati su modelli linguistici di grandi dimensioni (LLM). Tale vulnerabilità riguarda il componente Custom MCP di Flowise che potrebbe consentire ad un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati.
Tipologia
- Remote Code Execution
Descrizione e potenziali impatti
È stato recentemente reso pubblico un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2026-40933 – di tipo “Remote Code Execution” con score CVSS v3.x pari a 9.9 – che interessa il componente Custom MCP della piattaforma. La vulnerabilità interessa il parametro command e i relativi: a causa di meccanismi di controllo non adeguati, risulterebbe possibile l’esecuzione di comandi arbitrari sul sistema operativo, portando potenzialmente alla compromissione completa dei sistemi target.
Prodotti e/o versioni affette
Flowise
- Versioni precedenti alla 3.0.13 (compresa)
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.
Riferimenti
- https://www.securityweek.com/exploit-code-published-for-critical-flowise-rce-vulnerability/
- https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-c9gw-hvqq-f33r
CVE
| CVE-ID |
|---|
| CVE-2026-40933 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 01-06-2026 | 01/06/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
1 Giugno 2026, 10:37