07.04.2026
1 хв
177
У платформі для створення AI-агентів Flowise виявили критичну вразливість, яку вже активно використовують хакери. Проблема дозволяє віддалено виконувати код і повністю захоплювати сервери, причому під загрозою опинилися тисячі інстансів по всьому світу.
З’явилися нові дані від VulnCheck, і картина виглядає досить тривожною: зловмисники вже активно використовують критичну вразливість у Flowise, популярній open-source платформі для створення AI-рішень. Йдеться про CVE-2025-59528 з максимальною оцінкою CVSS 10.0, яка дозволяє впроваджувати код і фактично виконувати його на сервері без належного контролю. Проблема криється у вузлі CustomMCP: він обробляє конфігурацію підключення до зовнішніх MCP-серверів, але робить це небезпечно, бо виконує JavaScript із введеного рядка без перевірки. У результаті система сама відкриває двері для атаки.
Щоб зрозуміти масштаб, достатньо подивитися, що отримує атакуючий після експлуатації:
запуск команд через child_process
повний доступ до файлової системи через fs
можливість читати, змінювати або красти дані
фактичний контроль над сервером
Ситуацію ускладнює ще один момент: для атаки достатньо лише API-токена. Це означає, що бар’єр входу дуже низький, і ризики для бізнесу та даних клієнтів різко зростають, про що прямо попереджає сама команда Flowise.
За інформацією VulnCheck, атаки вже відбуваються, і частину активності пов’язують навіть із IP-адресою Starlink. Причому це вже не перший інцидент для платформи. Раніше фіксувалися ще дві серйозні вразливості:
CVE-2025-8943 (CVSS 9.8) з можливістю виконання команд ОС
CVE-2025-26319 (CVSS 8.9), яка дозволяє завантаження довільних файлів
Як зазначає Кейтлін Кондон із VulnCheck, проблема була публічно відома понад пів року. І тут найцікавіше: за цей час не всі встигли оновитися. В інтернеті досі відкриті понад 12 000 інстансів Flowise, що робить ситуацію ще небезпечнішою, бо атакуючі буквально мають тисячі потенційних цілей.
Вразливість виявив дослідник Кім СуХьон, а виправлення вже доступне у версії 3.0.6. Але, як це часто буває, якщо система не оновлена, вона залишається повністю відкритою для атаки.
