La plataforma de orquestación de inteligencia artificial Flowise se ha situado en el centro del debate de ciberseguridad tras la identificación de la vulnerabilidad CVE-2025-59528, valorada con la puntuación máxima de 10.0 en la escala CVSS. De acuerdo con el análisis de VulnCheck, esta falla ya está siendo explotada en ataques reales y permite la ejecución remota de código (RCE) sobre los servidores que ejecutan Flowise, con un impacto directo en entornos corporativos de IA y en la confidencialidad de los datos procesados.
Descripción técnica de la vulnerabilidad CVE-2025-59528 en Flowise
CVE-2025-59528 afecta al componente CustomMCP de Flowise, diseñado para conectar la plataforma con servidores externos que implementan el Model Context Protocol (MCP). Este nodo permite definir una cadena de configuración denominada mcpServerConfig, a partir de la cual se construye la configuración del servidor MCP.
Cómo se produce la inyección de código en CustomMCP
El error de seguridad radica en que la cadena mcpServerConfig se procesa de forma insegura: partes del contenido se evalúan como JavaScript dentro del entorno de ejecución Node.js sin validaciones ni filtrado adecuados. Este diseño habilita un escenario clásico de code injection, en el que un atacante puede inyectar y ejecutar código arbitrario en el servidor.
Los desarrolladores de Flowise han confirmado que, mediante esta vulnerabilidad, un adversario puede acceder a módulos peligrosos de Node.js como child_process (ejecución de comandos del sistema operativo) y fs (operaciones de lectura y escritura sobre el sistema de archivos). En la práctica, esto otorga la capacidad de:
• ejecutar comandos arbitrarios en el sistema (RCE);
• leer, modificar o eliminar archivos del servidor;
• obtener credenciales, tokens, configuraciones y otros secretos;
• utilizar el servidor comprometido como punto de apoyo para moverse lateralmente en la red corporativa.
Impacto para las empresas y exposición de datos sensibles
Un aspecto especialmente crítico de CVE-2025-59528 es que su explotación solo requiere que el atacante disponga de un token de API de Flowise. En muchos entornos empresariales, estos tokens se integran en scripts de automatización, pipelines de CI/CD o herramientas colaborativas para desarrolladores, donde con frecuencia no existe un control de acceso estricto ni una rotación sistemática de credenciales.
En caso de éxito, la intrusión no se limita al compromiso de los flujos de trabajo de IA o de las propias configuraciones de Flowise. Quedan expuestos todos los datos que atraviesan la plataforma: solicitudes de clientes, documentos internos, fragmentos de código fuente y otra información confidencial utilizada en cadenas de procesamiento de IA. Esto aumenta el riesgo de fuga de secretos comerciales, violaciones de propiedad intelectual y incumplimiento de normativas de protección de datos personales.
Desde la perspectiva de continuidad de negocio, la explotación de vulnerabilidades en plataformas de IA puede derivar en paradas operativas, sabotaje de procesos automatizados y pérdidas financieras. Caitlin Condon, vicepresidenta de investigación de seguridad en VulnCheck, subraya que se trata de una falla crítica en una plataforma ampliamente desplegada y conocida públicamente desde hace más de seis meses, lo que indica que muchas organizaciones no han aplicado aún las actualizaciones disponibles.
Explotación activa y otras vulnerabilidades críticas en Flowise
VulnCheck ha observado actividad de explotación de CVE-2025-59528 originada desde una dirección IP perteneciente a la red Starlink. Aunque el volumen actual de ataques detectados parezca limitado, el riesgo es significativo: se estima que existen más de 12 000 instancias de Flowise expuestas públicamente en Internet, lo que facilita campañas automatizadas de escaneo y explotación a gran escala.
Historial reciente de vulnerabilidades explotadas en Flowise
La nueva vulnerabilidad se suma a otras dos fallas graves en Flowise que ya han sido explotadas en entornos reales:
CVE-2025-8943 (CVSS 9.8): vulnerabilidad de OS command injection que permite la ejecución de comandos arbitrarios del sistema operativo;
CVE-2025-26319 (CVSS 8.9): vulnerabilidad de arbitrary file upload, que facilita la carga y posible ejecución de componentes maliciosos.
El conjunto de estos fallos demuestra que las plataformas de inteligencia artificial, cada vez más integradas en la infraestructura corporativa, se han convertido en un objetivo prioritario para atacantes. Suelen desplegarse con rapidez, a menudo en fases piloto o de experimentación, sin someterse siempre a los mismos niveles de auditoría y pruebas de seguridad que las aplicaciones empresariales tradicionales.
Medidas de mitigación y buenas prácticas de seguridad en Flowise
La vulnerabilidad CVE-2025-59528 ha sido corregida en la versión 3.0.6 del paquete npm de Flowise. El proyecto ha reconocido públicamente la contribución del investigador Kim SooHyun, responsable del hallazgo y del proceso de divulgación responsable. Las organizaciones que utilizan Flowise deberían adoptar de inmediato las siguientes medidas:
1. Actualizar Flowise a la última versión disponible. Verificar la versión instalada y actualizar al menos a la 3.0.6, o a una versión superior si existe un lanzamiento más reciente.
2. Regenerar y restringir los tokens de API. Tras la actualización, revocar los tokens antiguos, emitir nuevos y limitar sus permisos siguiendo el principio de menor privilegio, evitando que un único token tenga acceso global a todos los flujos y recursos.
3. Revisar registros y posibles incidentes. Analizar los logs de Flowise en busca de comportamientos anómalos, en especial peticiones relacionadas con el nodo CustomMCP y patrones compatibles con inyección de comandos o ejecución de código inusual.
4. Segmentar e aislar la infraestructura de IA. Evitar exponer instancias de Flowise directamente a Internet; proteger el acceso mediante proxy inverso, WAF o VPN y limitar la comunicación de red únicamente a los sistemas estrictamente necesarios.
5. Integrar las plataformas de IA en la gestión de vulnerabilidades. Incluir Flowise y herramientas similares en los procesos de patch management, escaneo periódico de vulnerabilidades y monitorización de nuevos CVE, al mismo nivel que las aplicaciones web críticas.
La aparición de CVE-2025-59528 confirma que la seguridad de las plataformas de inteligencia artificial debe tratarse como un componente esencial de la estrategia global de ciberdefensa. A medida que estos sistemas se integran en procesos clave del negocio, aumenta el impacto potencial de cualquier compromiso. Las organizaciones que ya utilizan Flowise, o que planean adoptarlo, deberían priorizar la actualización, fortalecer los controles de acceso por API, aislar los servicios críticos y revisar de forma continua su arquitectura de IA para anticiparse a nuevas amenazas.
