Una vulnerabilità di gravità massima nella piattaforma open source Flowise è passata dallo stato di “divulgazione pubblica” a quello di “sfruttamento attivo”. La falla, identificata come CVE-2025-59528 con un punteggio CVSS di 10 (il massimo nella scala di riferimento), riguarda il nodo CustomMCP della piattaforma e permette a un attaccante di iniettare codice JavaScript arbitrario senza che il sistema esegua alcuna verifica preventiva di sicurezza. Il risultato concreto è l’esecuzione di comandi sul sistema ospitante e l’accesso diretto al filesystem.

Il problema risiede nel modo in cui Flowise gestisce la configurazione del nodo CustomMCP, componente progettato per connettersi a server esterni che implementano il protocollo MCP (Model Context Protocol). Durante questa operazione, il parametro mcpServerConfig fornito dall’utente viene valutato direttamente come codice JavaScript senza passare attraverso alcuna procedura di sanitizzazione o validazione. È un errore di progettazione che ricade nell’esecuzione di input non fidato come codice eseguibile, una categoria ben nota e considerata inaccettabile nella moderna gestione della sicurezza applicativa:

Flowise è una piattaforma low-code open source per la costruzione di agenti AI e workflow basati su modelli linguistici di grandi dimensioni. Attraverso un’interfaccia drag-and-drop, consente di assemblare pipeline funzionali per chatbot, sistemi di automazione e assistenti basati su knowledge base, rendendosi accessibile sia a sviluppatori in fase di prototipazione, sia a utenti non tecnici che operano con strumenti no-code.

Flowise

È esattamente questa accessibilità a rendere la situazione particolarmente delicata. La ricercatrice Caitlin Condon di VulnCheck ha segnalato su LinkedIn che la rete Canary dell’azienda ha rilevato i primi casi di sfruttamento attivo della vulnerabilità. Le prime attività osservate provengono da un singolo indirizzo IP associato alla rete Starlink, un segnale ancora circoscritto, ma sufficiente a confermare che la falla non è più solo teorica. Condon ha inoltre precisato che l’attività legata a questa CVE si somma allo sfruttamento già documentato di altre due vulnerabilità distinte che impattano Flowise: CVE-2025-8943 e CVE-2025-26319.

Secondo le rilevazioni di VulnCheck, tra 12.000 e 15.000 istanze Flowise risultano attualmente esposte su internet. Non è ancora possibile determinare con precisione quale percentuale di queste esegua versioni vulnerabili, ma la combinazione tra un punteggio CVSS massimo, divulgazione pubblica risalente a mesi fa e sfruttamento ora confermato in the wild configura uno scenario ad alto rischio. Le organizzazioni che espongono istanze Flowise su rete pubblica senza avere aggiornato alla versione corretta si trovano quindi in una posizione indifendibile.

La priorità assoluta per chi gestisce un’istanza Flowise è aggiornare alla versione 3.1.1, che include la correzione introdotta già dalla 3.0.6. Chi non può procedere all’aggiornamento immediato, dovrebbe valutare di isolare l’istanza dalla rete pubblica, limitando l’accesso esclusivamente alle reti interne o attraverso VPN. In assenza di una reale necessità di accesso esterno, esporre un sistema di questo tipo su internet rappresenta un rischio che, alla luce degli sviluppi recenti, non trova più giustificazione operativa.

(Immagine in apertura: Shutterstock)