Die offene KI-Plattform Flowise steht aktuell im Fokus der IT-Sicherheitscommunity: Die Schwachstelle CVE-2025-59528 wurde mit dem Hoechstwert von 10.0 auf der CVSS-Skala eingestuft und wird nach Analysen von VulnCheck bereits aktiv ausgenutzt. Die Luecke ermoeglicht die Remote Code Execution (RCE) auf Flowise-Servern und bedroht damit direkt Unternehmensdaten, Automatisierungsprozesse und angebundene KI-Workflows.
Technische Hintergruende von CVE-2025-59528 in Flowise
Die Sicherheitsluecke betrifft den Flowise-Knoten CustomMCP, der fuer die Anbindung externer MCP-Server (Model Context Protocol) vorgesehen ist. Ueber eine Konfigurationszeichenkette namens mcpServerConfig wird die Verbindung zum MCP-Server definiert. Genau hier setzt die Schwachstelle an.
Bei der Verarbeitung dieser Konfiguration fuehrt Flowise Teile des Inhalts als JavaScript-Code aus, ohne eine angemessene Sicherheitspruefung oder Isolierung. Dies entspricht einem klassischen Code-Injection-Szenario: Angreifer koennen eigenen JavaScript-Code einschleusen, der direkt in der Node.js-Laufzeitumgebung ausgefuehrt wird.
Nach Angaben der Flowise-Entwickler koennen dabei gefaehrliche Node.js-Module wie child_process (Ausfuehrung von Systembefehlen) und fs (Zugriff auf das Dateisystem) angesprochen werden. Da der Code mit den Rechten der Node.js-Umgebung laeuft, ergeben sich weitreichende Moeglichkeiten fuer Angreifer:
- Remote Code Execution (RCE): Ausfuehrung beliebiger Systembefehle auf dem Flowise-Server.
- Dateizugriff: Lesen, Aendern und Loeschen von Dateien, inklusive Konfigurationsdateien und Schluesseln.
- Diebstahl von Geheimnissen: Zugriff auf Zugangsdaten, API-Tokens und interne Konfigurationen.
- Laterale Bewegung: Nutzung des kompromittierten Servers als Ausgangspunkt fuer weitere Angriffe in der Unternehmensumgebung.
Warum die Flowise-Sicherheitsluecke fuer Unternehmen besonders kritisch ist
Besonders problematisch ist, dass fuer die Ausnutzung von CVE-2025-59528 lediglich ein gueltiger API-Token von Flowise erforderlich ist. In vielen Unternehmen werden solche Tokens in Skripten, CI/CD-Pipelines oder gemeinsam genutzten Entwickler-Tools hinterlegt, oft ohne strikte Zugriffskontrolle oder regelmaessige Rotation.
Ein erfolgreicher Angriff gefaehrdet nicht nur die zugrunde liegende KI-Infrastruktur, sondern vor allem die Datenstroeme durch Flowise: Kundenanfragen, interne Dokumente, Ausschnitte aus Quellcode sowie andere vertrauliche Informationen, die in Prompt-Ketten und Workflows verarbeitet werden. Damit drohen sowohl Verlust von Geschäftsgeheimnissen als auch Verstösse gegen Datenschutzvorgaben, etwa die DSGVO.
Hinzu kommt das Risiko fuer die Business-Continuity. Kompromittierte KI-Plattformen koennen automatisierte Prozesse sabotieren, Ausfaelle verursachen und finanzielle Schaeden nach sich ziehen. Wie von VulnCheck betont, handelt es sich um eine kritische Schwachstelle in einer weit verbreiteten Plattform, die bereits seit Monaten oeffentlich bekannt ist – Organisationen haetten also Zeit zum Patchen gehabt, haben dies aber offenbar nicht konsequent umgesetzt.
Aktive Ausnutzung und weitere bekannte Flowise-Schwachstellen
VulnCheck beobachtete erste Exploit-Versuche fuer CVE-2025-59528 von einer IP-Adresse aus dem Netzwerk von Starlink. Auch wenn dies aktuell auf eine begrenzte Anzahl von Angreifern hindeutet, ist die Gefaehrdungslage hoch: Bei mehr als 12.000 oeffentlich erreichbaren Flowise-Instanzen koennen automatisierte Scans die verwundbaren Systeme schnell aufspueren.
Die neue Luecke ist bereits die dritte aktiv ausgenutzte Schwachstelle in Flowise:
- CVE-2025-8943 (CVSS 9.8): OS-Command-Injection mit der Moeglichkeit, beliebige Betriebssystembefehle auszufuehren.
- CVE-2025-26319 (CVSS 8.9): Schwachstelle fuer Arbitrary File Upload, die das Hochladen und potenzielle Ausfuehren von Schadcode erlaubt.
Die Kombination dieser Schwachstellen unterstreicht einen breiteren Trend: KI-Plattformen werden schnell eingefuehrt, aber oft nicht mit der gleichen Sorgfalt abgesichert wie klassische Webanwendungen. Internationale Analysen, etwa von ENISA und dem Verizon Data Breach Investigations Report, zeigen seit Jahren, dass verwundbare Web- und API-Dienste zu den wichtigsten Einfallsvektoren fuer erfolgreiche Angriffe zaehlen – diese Erkenntnisse gelten unveraendert auch fuer moderne KI-Stacks.
Empfohlene Schutzmassnahmen fuer Flowise und KI-Infrastrukturen
Die Schwachstelle CVE-2025-59528 wurde in der npm-Version 3.0.6 von Flowise behoben. Organisationen sollten rasch handeln und folgende Massnahmen umsetzen:
1. Sofortiges Update von Flowise
Pruefen Sie die eingesetzte Flowise-Version und aktualisieren Sie mindestens auf 3.0.6 oder eine neuere verfuegbare Release-Version. Ohne Patch bleibt der Angriffspfad vollstaendig offen.
2. API-Tokens erneuern und Rechte minimieren
Nach dem Update sollten bestehende API-Tokens widerrufen und neu generiert werden. Vergeben Sie Rechte strikt nach dem Prinzip der geringsten Privilegien und protokollieren Sie die Nutzung sensibler Tokens.
3. Log-Analyse und Incident-Response
Pruefen Sie die Flowise-Logs auf ungewoehnliche Aufrufe des CustomMCP-Knotens und auffaellige Shell- oder Systembefehle. Bei Verdachtsmomenten ist ein strukturierter Incident-Response-Prozess erforderlich – inklusive Forensik und Ueberpruefung angrenzender Systeme.
4. Netzsegmentierung und Exposition reduzieren
Flowise sollte nicht ungeschuetzt direkt aus dem Internet erreichbar sein. Setzen Sie auf Reverse-Proxys, WAFs oder VPN-Zugriff und beschraenken Sie den Netzwerkzugriff auf die wirklich notwendigen Systeme und Benutzergruppen.
5. KI-Plattformen ins Vulnerability Management integrieren
Regelmaessige Schwachstellenscans, Patch-Management und Monitoring muessen konsequent auch alle Komponenten des KI-Stacks umfassen – von Orchestrierungsplattformen wie Flowise bis zu Modellen, Datenpipelines und angebundenen APIs.
Die aktuelle Flowise-Sicherheitsluecke zeigt deutlich, dass KI-Plattformen vollwertige, sicherheitskritische Business-Anwendungen sind. Wer generative KI und Automatisierung produktiv nutzt, sollte Patches zeitnah einspielen, API-Zugaenge hart absichern, Netzwerke segmentieren und die eigene Architektur regelmaessig gegen aktuelle Bedrohungsszenarien praeuen. Unternehmen, die diese Lehren fruehzeitig umsetzen, reduzieren nicht nur das Risiko erfolgreicher Angriffe, sondern schaffen auch eine belastbare Grundlage fuer den sicheren Einsatz von KI im Kerngeschaeft.
