Открытая платформа искусственного интеллекта Flowise оказалась в центре внимания специалистов по кибербезопасности из‑за обнаруженной критической уязвимости CVE-2025-59528 с максимальным баллом по шкале CVSS — 10.0. По данным исследователей VulnCheck, уязвимость уже используется злоумышленниками в реальных атаках и позволяет выполнять произвольный код на сервере Flowise, что создает прямую угрозу для корпоративных ИИ-систем и хранимых данных.
Описание уязвимости Flowise CVE-2025-59528 и ее технические детали
Уязвимость затрагивает компонент CustomMCP в Flowise, предназначенный для подключения к внешнему серверу MCP (Model Context Protocol). Этот узел позволяет пользователю задать строку конфигурации mcpServerConfig, на основе которой формируется конфигурация MCP-сервера.
Критическая ошибка заключается в том, что при обработке этой строки конфигурации код Flowise выполняет фрагменты JavaScript без какой-либо полноценной проверки безопасности. Фактически это реализует сценарий code injection — внедрения и выполнения произвольного кода в среде выполнения Node.js.
Разработчики Flowise отмечают, что успешная эксплуатация позволяет получить доступ к опасным модулям Node.js, таким как child_process (выполнение системных команд) и fs (операции с файловой системой). Поскольку код выполняется с полными привилегиями среды Node.js, атакующий получает возможность:
• удаленно выполнять произвольные команды (RCE);
• читать, изменять и удалять файлы на сервере;
• получать доступ к учетным данным, конфигурациям и токенам;
• использовать скомпрометированный сервер как точку опоры для дальнейшего продвижения в сети организации.
Чем опасна эксплуатация уязвимости Flowise для бизнеса
Отдельный фактор риска — то, что для эксплуатации CVE-2025-59528 злоумышленнику достаточно иметь доступ к API-токену Flowise. В ряде компаний такие токены могут быть встроены в скрипты автоматизации, CI/CD‑конвейеры или совместно используемые инструменты разработчиков, где нередко отсутствует строгий контроль доступа.
При успешной атаке компрометации подвергаются не только сами ИИ‑модели и рабочие процессы, но и данные, которые проходят через Flowise: клиентские запросы, внутренние документы, фрагменты исходного кода и любые конфиденциальные сведения, задействованные в цепочках обработки. Это создает угрозу как утечки коммерческой тайны, так и нарушения требований регуляторов к защите персональных данных.
С точки зрения непрерывности бизнеса уязвимость в популярной платформе ИИ может привести к простоям, саботажу автоматизированных процессов и финансовым потерям. Как подчеркивает Caitlin Condon, вице-президент по исследованиям безопасности в VulnCheck, речь идет о критической ошибке в широко используемой платформе, которая уже более полугода известна публично, а значит, организации имели время на установку патчей — но далеко не все этим воспользовались.
Активная эксплуатация CVE-2025-59528 и другие уязвимости Flowise
По наблюдениям VulnCheck, обнаруженная активность по эксплуатации CVE-2025-59528 исходила с одного IP-адреса, принадлежащего сети Starlink. Это не снижает серьезности ситуации: при более чем 12 000 открыто доступных экземпляров Flowise в интернете любая автоматизированная сканирующая кампания быстро находит уязвимые инсталляции.
Другие уязвимости Flowise с эксплуатацией в дикой природе
CVE-2025-59528 — уже третья уязвимость Flowise, для которой зафиксирована эксплуатация «в дикой природе». Ранее были выявлены:
CVE-2025-8943 (CVSS 9.8) — уязвимость удаленного выполнения системных команд (OS command injection), позволяющая запускать произвольные команды ОС;
CVE-2025-26319 (CVSS 8.9) — уязвимость произвольной загрузки файлов (arbitrary file upload), потенциально ведущая к загрузке и запуску вредоносных компонентов.
Совокупность этих проблем показывает, что платформы ИИ, активно интегрируемые в корпоративную инфраструктуру, становятся все более привлекательной целью для атакующих. Они часто развертываются быстро, в экспериментальном или пилотном режиме, и не всегда проходят тот же уровень аудита безопасности, что и классические бизнес-приложения.
Рекомендуемые меры защиты и практики безопасного использования Flowise
Уязвимость исправлена в версии npm‑пакета Flowise 3.0.6, о чем проект сообщил в своем уведомлении, поблагодарив исследователя Kim SooHyun за обнаружение и ответственное раскрытие проблемы. Организациям, использующим Flowise, следует:
1. Немедленно обновить платформу. Проверить текущую версию Flowise и обновиться как минимум до 3.0.6, либо до более актуального релиза, если он доступен.
2. Перегенерировать и ограничить API-токены. После обновления стоит отозвать старые токены, выдать новые и минимизировать права доступа в соответствии с принципом наименьших привилегий.
3. Провести анализ журналов и инцидентов. Проверить логи запросов к Flowise на предмет подозрительной активности, особенно взаимодействий с узлом CustomMCP и аномальных командных вызовов.
4. Сегментировать и изолировать ИИ-инфраструктуру. Не размещать Flowise напрямую в интернете без прокси, WAF или VPN-доступа; ограничить сетевое взаимодействие только необходимыми системами.
5. Включить ИИ-платформы в процесс управления уязвимостями. Регулярное сканирование, мониторинг новых CVE и своевременное обновление должны распространяться не только на классические веб‑приложения, но и на все компоненты ИИ‑стека.
Уязвимость CVE-2025-59528 в Flowise наглядно демонстрирует, что безопасность ИИ‑платформ не может рассматриваться отдельно от общей стратегии киберзащиты. Чем глубже такие решения интегрированы в бизнес‑процессы, тем серьезнее последствия их компрометации. Организациям, уже внедрившим или только планирующим использовать Flowise и аналогичные инструменты, важно выстроить системный подход к защите: своевременно устанавливать обновления, жестко контролировать доступ по API, изолировать критичные сервисы и регулярно пересматривать архитектуру с учетом актуальных угроз.
