기술 설명
Flowise의 CustomMCP Node의 코드 인젝션 취약점으로 인해 원격 공격자가 인증 없이 임의의 코드를 실행할 수 있습니다. CustomMCP 노드는 사용자 제공 mcpServerConfig 문자열을 보안 검증 없이 파싱하여 child_process(명령 실행) 및 fs(파일 시스템 접근)를 포함한 위험한 Node.js 모듈에 대한 접근을 활성화하며, 전체 런타임 권한으로 작동합니다. 2026년 4월 초 Starlink IP에서 처음 확인된 현재 진행 중인 악용이 감지되었으며, 12,000~15,000개의 패치되지 않은 인스턴스가 인터넷에서 접근 가능한 상태로 남아있습니다. 중요하게도, Flowise 인스턴스는 일반적으로 OpenAI, Anthropic, Azure OpenAI 및 기타 LLM 제공자의 API 키를 보유하고 있습니다 — 성공적인 악용은 모든 다운스트림 AI 서비스에 대한 접근을 허가합니다.
공격 경로
인증되지 않은 원격 공격자가 악의적인 mcpServerConfig 페이로드를 포함하여 CustomMCP 노드 엔드포인트로 조작된 HTTP 요청을 전송합니다. 자격 증명이나 사전 접근이 필요하지 않습니다. 악용으로 인해 전체 시스템 명령 실행 및 Flowise 인스턴스에 저장된 모든 비밀에 대한 접근이 가능해집니다.
영향받는 시스템
3.1.1 이전의 Flowise 버전입니다. CustomMCP 노드를 신뢰할 수 없는 입력에 노출시키는 모든 Flowise 배포입니다.
완화 방안
즉시 Flowise 버전 3.1.1로 업그레이드하세요. 노출된 인스턴스를 손상의 지표(비정상적인 아웃바운드 연결, LLM 제공자에 대한 예상치 못한 API 호출)에 대해 감사하세요. 손상되었거나 잠재적으로 손상된 Flowise 인스턴스에 저장된 모든 API 키를 교체하세요. 인증 제어 없이 Flowise 관리 인터페이스를 공용 인터넷에 노출하지 마세요.