文章总结： 开源AI平台Flowise存在CVSS满分RCE漏洞CVE-2025-59528，攻击者可通过CustomMCP节点注入JavaScript代码执行系统命令。该漏洞已在3.0.6版本修复，最新版为3.1.1。VulnCheck监测到在野利用活动，同时涉及CVE-2025-8943和CVE-2025-26319漏洞。建议用户立即升级版本并限制公网暴露。 综合评分： 85 文章分类： 漏洞分析,威胁情报,漏洞预警,应用安全,WEB安全

开源平台 Flowise 中的满分 RCE 漏洞已遭在野利用

Bill Toulas Bill Toulas

代码卫士

2026年4月8日 18:14 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

常用于构建自定义大模型应用及智能体系统的开源平台 Flowise 中存在一个CVSS满分漏洞CVE-2025-59528，可被用于执行任意代码。

该漏洞的根源在于，系统在未做任何安全检查的情况下便允许注入 JavaScript 代码。该漏洞于去年 9 月公开披露，可用于执行系统命令并访问文件系统。该漏洞位于Flowise 的 CustomMCP 节点上。该节点允许通过配置设置来连接外部 MCP（模型上下文协议）服务器，并对用户输入的 mcpServerConfig进行了不安全的风险求值。在这一过程中，系统会在未经验证其安全性的情况下，直接执行其中的 JavaScript 代码。

该漏洞已在Flowise 3.0.6 版本中修复。当前最新版本为 3.1.1，已于两周前发布。Flowise 是一个开源的低代码平台，用于构建 AI 智能体以及基于大语言模型的工作流。该平台提供拖拽式界面，使用户能够将各个组件连接成数据处理流水线，从而支撑聊天机器人、自动化流程和 AI 系统的开发。Flowise的用户群体广泛，包括从事 AI 原型开发的开发者、使用无代码工具集的非技术人员，以及运营客服机器人与知识库助手的各类公司。

漏洞情报公司 VulnCheck 的安全研究员 Caitlin Condon 在领英上宣布称，他们的蜜罐网络已检测到针对 CVE-2025-59528 的在野利用。尽管目前攻击活动看似有限，仅来自一个 Starlink IP 地址，但研究人员警告称，当前互联网上暴露的 Flowise 实例数量在 12000 到 15000 之间。不过，尚不清楚其中有多少属于存在漏洞的 Flowise 服务器。

Condon 指出，除了 CVE-2025-59528 之外，观测到的攻击活动还涉及同样影响 Flowise 且已被发现遭在野利用的 CVE-2025-8943与CVE-2025-26319。

目前，VulnCheck 仅向其客户提供漏洞利用样本、网络检测特征以及 YARA 规则。建议 Flowise 用户尽快升级到 3.1.1 版本，或至少更新到 3.0.6 版本。如无需外部访问，还应考虑将实例从公网移除。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

GitHub 开源软件仓库遭 AI 自动化供应链攻击

开源 IAM 平台ZITADEL中存在漏洞，可导致用户账户遭完全接管

开源库 Libpng 漏洞已存在30年，可导致数百万系统遭代码执行攻击

Claude Opus 4.6 找到主流开源库中的500多个高危漏洞

用AI攻击AI：Ray AI开源框架中的老旧漏洞被用于攻击集群

原文链接

https://www.bleepingcomputer.com/news/security/max-severity-flowise-rce-vulnerability-now-exploited-in-attacks/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Bill Toulas Bill Toulas《开源平台 Flowise 中的满分 RCE 漏洞已遭在野利用》