Исследователи зафиксировали первые попытки атак на ИИ-платформу Flowise с использованием критической уязвимости CVE-2025-59528, которая представляет собой инъекцию произвольного jаvascript-кода. Этот баг получил максимальные 10 баллов по шкале CVSS, и о нем было известно более полугода, однако в сети по-прежнему доступны от 12 000 до 15 000 экземпляров Flowise.

Flowise — опенсорсная low-code-платформа для сборки ИИ-агентов и LLM-пайплайнов с drag-and-drop-интерфейсом. Ее используют разработчики на этапе прототипирования, нетехнические специалисты, работающие с no-code-инструментами, а также компании, развернувшие на ее базе чат-ботов поддержки и базы знаний.

Корень проблемы CVE-2025-59528 кроется в ноде CustomMCP, который позволяет настроить подключение к внешнему MCP-серверу. Поле mcpServerConfig принимает пользовательский ввод и без каких-либо проверок передает его на выполнение как jаvascript, с полными привилегиями Node.js. В итоге злоумышленники могут добиться произвольного выполнения кода на сервере и получить доступ к файловой системе. Для атаки достаточно лишь иметь API-токен.

Уязвимость устранили еще в сентябре прошлого года, с релизом версии 3.0.6. Тем не менее специалисты VulnCheck зафиксировали первые попытки эксплуатации проблемы в реальных атаках. По их словам, пока активность ограниченная и исходит с одного IP-адреса в сети Starlink, однако ситуация может быстро измениться.

Стоит отметить, что CVE-2025-59528 — не единственный повод для беспокойства. По данным VulnCheck, в атаках уже применяют два других бага в Flowise: CVE-2025-8943 и CVE-2025-26319.

Сигнатуры для обнаружения атак, сэмплы эксплоитов и YARA-правила VulnCheck пока предоставляет только платным клиентам. Всем, кто использует Flowise, рекомендуется как можно скорее обновиться до версии 3.0.6, а лучше — до актуальной 3.1.1.