Penjelasan teknis
Kerentanan code injection pada CustomMCP Node Flowise memungkinkan penyerang jarak jauh menjalankan kode arbitrer tanpa autentikasi. Node CustomMCP mengurai string mcpServerConfig yang disediakan pengguna tanpa validasi keamanan, memungkinkan akses ke modul Node.js berbahaya termasuk child_process (eksekusi perintah) dan fs (akses sistem file) dengan privilege runtime penuh. Eksploitasi in-the-wild pertama kali dikonfirmasi terdeteksi dari IP Starlink di awal April 2026; antara 12.000–15.000 instance yang belum ditambal tetap dapat diakses di internet. Secara kritis, instance Flowise biasanya menyimpan API key untuk OpenAI, Anthropic, Azure OpenAI, dan penyedia LLM lainnya — eksploitasi yang berhasil memberikan akses ke semua layanan AI downstream.
Vektor serangan
Penyerang jarak jauh tanpa autentikasi mengirim permintaan HTTP yang dirancang khusus ke endpoint node CustomMCP dengan payload mcpServerConfig berbahaya. Tidak diperlukan kredensial atau akses sebelumnya. Eksploitasi memberikan eksekusi perintah sistem penuh dan akses ke semua rahasia yang disimpan dalam instance Flowise.
Sistem yang terdampak
Versi Flowise sebelum 3.1.1. Penerapan Flowise apa pun yang mengekspos node CustomMCP ke input yang tidak dipercaya.
Mitigasi
Tingkatkan ke versi Flowise 3.1.1 segera. Audit instance yang terekspos untuk indikator kompromi (koneksi outbound yang tidak biasa, panggilan API yang tidak terduga ke penyedia LLM). Rotasi semua API key yang disimpan dalam instance Flowise yang dikompromikan atau berpotensi dikompromikan. Jangan ekspos antarmuka admin Flowise ke internet publik tanpa kontrol autentikasi.