Платформа штучного інтелекту Flowise, популярна серед розробників для побудови LLM‑ланцюжків і агентів, опинилася в центрі уваги через критичну уразливість CVE-2025-59528. За оцінкою CVSS вона отримала максимальний бал 10.0 і вже активно експлуатується зловмисниками, що створює безпосередню загрозу для корпоративних ІІ‑рішень і чутливих даних, які через них проходять.
Критична уразливість Flowise CVE-2025-59528: як працює атака
Проблема зосереджена в компоненті CustomMCP, який використовується Flowise для підключення до зовнішніх серверів за протоколом Model Context Protocol (MCP). Користувач може задати конфігураційний рядок mcpServerConfig, на основі якого будується налаштування MCP‑сервера.
Ключова помилка полягає в тому, що під час обробки цього рядка застосунок виконує фрагменти JavaScript‑коду без належної валідації та ізоляції. Це призводить до класичної атаки code injection у середовищі Node.js, коли введені ззовні інструкції інтерпретуються як довірений код і виконуються з правами процесу сервера.
За даними розробників, успішна експлуатація дозволяє отримати доступ до небезпечних модулів Node.js, зокрема child_process (запуск системних команд) та fs (робота з файловою системою). Унаслідок цього атакувальний сценарій забезпечує:
• повноцінне віддалене виконання коду (RCE) на сервері Flowise;
• читання, зміну та видалення файлів;
• викрадення облікових даних, конфігурацій, секретів і токенів;
• використання скомпрометованого вузла як точки входу для подальшого руху в мережі організації.
Чому уразливість Flowise становить підвищений ризик для ІІ‑проєктів
Особливо небезпечним аспектом CVE-2025-59528 є те, що для її успішної експлуатації зловмиснику достатньо отримати API‑токен Flowise. У реальних середовищах такі токени часто вбудовуються в скрипти автоматизації, CI/CD‑конвеєри, внутрішні інструменти розробників і не завжди захищені належним чином або мають надмірні привілеї.
Компрометація Flowise торкається не лише ІІ‑моделей та робочих процесів, а й усього масиву даних, який циркулює через платформу: звернень клієнтів, внутрішніх документів, фрагментів вихідного коду, технічних специфікацій, а також персональних даних. Це створює ризики як для комерційної таємниці, так і для відповідності вимогам регуляторів щодо захисту персональних даних (GDPR, локальне законодавство тощо).
З погляду безперервності бізнесу вразливість у поширеній ІІ‑платформі може призвести до простоїв, саботажу автоматизованих процесів, некоректної роботи ІІ‑агентів і, як наслідок, до фінансових збитків. Експерти VulnCheck наголошують, що йдеться про критичну помилку у широко використовуваному рішенні, яка перебуває в публічному просторі вже понад пів року, але значна кількість організацій досі не встановила оновлення.
Активна експлуатація Flowise CVE-2025-59528 та інші уразливості платформи
За спостереженнями VulnCheck, зафіксована активна експлуатація CVE-2025-59528 надходила з IP‑адреси з мережі Starlink. Попри обмежену кількість джерел атак, ситуація залишається критичною: в інтернеті виявлено понад 12 000 публічно доступних інсталяцій Flowise, і будь‑яка автоматизована сканувальна кампанія здатна швидко відшукати вразливі екземпляри.
Інші відомі уразливості Flowise, що вже використовуються в атаках
Проблема CVE-2025-59528 стала вже третьою уразливістю Flowise, що підтверджено експлуатується «в дикій природі». Раніше були виявлені:
CVE-2025-8943 (CVSS 9.8) — інʼєкція команд операційної системи (OS command injection), яка дозволяє запускати довільні системні команди;
CVE-2025-26319 (CVSS 8.9) — уразливість довільного завантаження файлів (arbitrary file upload), що відкриває шлях до розміщення та виконання шкідливих компонентів.
Сукупність цих недоліків демонструє, що ІІ‑платформи стають привабливою ціллю для хакерів. Їх часто розгортають у пілотному або експериментальному режимі, поза стандартними процесами аудитів безпеки, властивих традиційним бізнес‑додаткам. У результаті з’являються «сліпі зони» в загальній поверхні атаки організації.
Практичні рекомендації: як захистити Flowise та ІІ‑інфраструктуру
Розробники усунули уразливість у версії npm‑пакета Flowise 3.0.6, подякувавши досліднику Kim SooHyun за відповідальне розкриття. Організаціям, які використовують Flowise у продакшені або тестових середовищах, доцільно виконати такі кроки:
1. Негайно оновити Flowise. Перевірити встановлену версію та оновитися щонайменше до 3.0.6 або до останнього стабільного релізу. Включити перевірку оновлень Flowise у стандартні процедури супроводу ПЗ.
2. Перегенерувати й обмежити API‑токени. Після оновлення відкликати всі чинні токени, видати нові та налаштувати їх відповідно до принципу найменших привілеїв. Заборонити використання токенів із правами адміністратора в автоматизованих сценаріях і CI/CD.
3. Проаналізувати журнали подій та інцидентів. Перевірити логи Flowise на предмет підозрілих запитів, особливо взаємодії з вузлом CustomMCP, нестандартних командних викликів і нетипових мережевих з’єднань. За потреби — провести ретроспективне розслідування безпеки.
4. Сегментувати та ізолювати ІІ‑інфраструктуру. Не розміщувати Flowise безпосередньо в інтернеті. Забезпечити доступ через VPN, реверс‑проксі або WAF, обмеживши взаємодію лише необхідними системами й користувачами. Розглядати ІІ‑сервери як критичні вузли та розміщувати їх у окремих сегментах мережі.
5. Включити ІІ‑платформи в процес управління уразливостями. Регулярне сканування, моніторинг нових CVE для Flowise та суміжних компонентів Node.js, своєчасні оновлення та контроль конфігурацій мають так само поширюватися на всі елементи ІІ‑стека, а не лише на класичні веб‑додатки.
Історія з CVE-2025-59528 у Flowise наочно демонструє, що безпека ІІ‑платформ є невід’ємною частиною загальної стратегії кіберзахисту. Чим глибше рішення на базі ШІ інтегровані в бізнес‑процеси, тим вагомішими будуть наслідки їх компрометації. Саме зараз доцільно переглянути архітектуру власних ІІ‑сервісів, оперативно встановити оновлення, посилити контроль доступу до API та впровадити системний підхід до моніторингу уразливостей, щоб не дозволити експериментальним ІІ‑проєктам перетворитися на найслабшу ланку корпоративної безпеки.
