Penjelasan teknis
Peneliti Obsidian Security mengungkapkan kerentanan eksekusi kode jarak jauh satu klik dalam Flowise, platform alur kerja AI-agent sumber terbuka dengan 52.000+ bintang GitHub. Akar penyebabnya adalah bahwa transportasi stdio Custom MCP adalah primitif eksekusi kode — ia menjalankan perintah yang dikonfigurasi sebagai proses anak. Ketika pengguna yang berwenang mengimpor artefak chatflow yang dirancang, konfigurasi stdio MCP diproses segera, memicu eksekusi perintah OS arbitrer di server tanpa interaksi pengguna tambahan. Flowise Cloud tidak terpengaruh karena stdio MCP dinonaktifkan di sana; instalasi Flowise yang di-host sendiri menggunakan Custom MCP adalah permukaan yang terpengaruh.
Vektor serangan
Penyerang membuat ekspor chatflow Flowise berbahaya (artefak JSON) dan meyakinkan pengguna yang berwenang untuk mengimpornya melalui UI impor chatflow normal. Impor saja — sebelum alur kerja dijalankan — memicu eksekusi di server. Serangan dapat disampaikan melalui tautan chatflow bersama, kompromi rantai pasokan templat chatflow, atau rekayasa sosial.
Sistem yang terdampak
Instalasi Flowise yang di-host sendiri dengan Custom MCP diaktifkan (transportasi stdio). Flowise Cloud (layanan hosted flowise.ai) secara eksplisit tidak terpengaruh. Mempengaruhi versi Flowise sebelum patch; periksa pengungkapan vendor untuk rentang versi yang tepat.
Mitigasi
Nonaktifkan stdio MCP dalam Flowise yang di-host sendiri: atur `CUSTOM_MCP_PROTOCOL=sse` (transportasi SSE tidak menjalankan proses lokal). Batasi impor chatflow hanya ke administrator terpercaya. Isolasikan proses server Flowise dalam kontainer tanpa akses filesystem host atau kredensial. Pantau spawn proses anak dari proses Node.js Flowise. Terapkan patch vendor saat tersedia.