As empresas que usam a plataforma leve e de código aberto Flowise para alimentar cargas de trabalho de IA auto-hospedadas agora têm um novo problema de gravidade quase máxima com que se preocupar.

Pesquisadores da Obsidian Security detalharam uma vulnerabilidade de execução remota de código (RCE) de um clique que afeta implantações Flowise auto-hospedadas por meio de sua implementação de servidores stdio Model Context Protocol (MCP).

O problema é essencialmente uma falha no sandbox de configurações MCP controladas pelo invasor, levando à execução de código no lado do servidor.

“O RCE pós-autenticação no Flowise pode ser acionado com um único clique por meio de uma importação maliciosa de fluxo de bate-papo antes de qualquer salvamento ou execução”, disseram os pesquisadores em uma postagem no blog. “O patch oficial depende da validação de entrada que é trivialmente ignorada e não consegue resolver a causa raiz.”

Flowise é comumente usado para desenvolver assistentes internos de IA, aplicativos de geração aumentada de recuperação (RAG), chatbots voltados para o cliente e agentes autônomos conectados a sistemas de negócios.

A falha não afeta o Flowise Cloud, pois o stdio MCP está desabilitado lá. De resto, onde o recurso está habilitado e é absolutamente necessário, há uma compensação de segurança e funcionalidade que os desenvolvedores precisam entender e revisar ativamente as configurações do servidor em busca de possíveis ameaças, explicaram os pesquisadores.

O RCE de um clique afeta tudo o que o Flowise pode alcançar

A vulnerabilidade, rastreada como CVE-2026-40933, afeta a implementação de servidores stdio MCP da Flowise. O stdio do MCP foi projetado para iniciar processos de servidor local e se comunicar com eles por meio de fluxos de entrada e saída padrão, permitindo que agentes de IA interajam com arquivos, repositórios Git, bancos de dados, navegadores e credenciais locais.

De acordo com a Obsidian Security, o problema decorre do fato de o Flowise permitir que os usuários configurem servidores stdio MCP contendo comandos arbitrários. Como esses comandos são executados pelo sistema operacional subjacente, um invasor pode realizar a execução remota de código com os privilégios do processo Flowise.

Em implantações em contêineres, observaram os pesquisadores, isso pode efetivamente fornecer acesso de nível raiz ao ambiente que hospeda a plataforma.

A falha recebeu uma classificação CVSS de 9,9, com um comprometimento bem-sucedido, potencialmente expondo chaves de API, bancos de dados, recursos de nuvem, aplicativos SaaS e outros ativos acessíveis por meio do Flowise.

Os pesquisadores disseram que as soluções são insuficientes

A divulgação detalha uma série de esforços de remediação da Flowise com o objetivo de restringir como os comandos stdio do MCP podem ser configurados e executados. De acordo com a Obsidian, no entanto, cada iteração dependia principalmente de mecanismos de validação e filtragem de comandos que podem ser contornados sob certas condições.

“Flowise pareceu reconhecer o risco e reforçou o MCP personalizado ao longo de várias rodadas”, observaram os pesquisadores. “#5232 introduziu CUSTOM_MCP_SECURITY_CHECK, uma camada de validação habilitada por padrão para configurações de MCP personalizadas.” Embora as verificações tenham reduzido os caminhos óbvios de execução de comandos, elas pouco fizeram para mudar a ameaça subjacente de permitir que os usuários fornecessem configurações stdio MCP, disseram eles.

O relato da falha pela Obsidian desencadeou um fortalecimento adicional do recurso com a validação do sinalizador nas atualizações #5741 e #5943. Estes também não eliminaram totalmente a ameaça.

Quando solicitado a tratar o stdio MCP como inseguro por padrão e exigir aceitação explícita, a Flowise teria dito que queria “limitar o que sabemos que é ruim, sem desabilitar completamente os recursos nos quais os usuários podem confiar”. Obsidian compartilhou uma exploração de prova de conceito (POC) demonstrando como as proteções atuais do Flowise ainda poderiam ser contornadas para obter um RCE bem-sucedido.

A única mitigação completa recomendada pelos pesquisadores é desligar o stdio MCP configurando “CUSTOM_MCP_PROTOCOL=sse”. Para aqueles que não podem, sem obstruir as operações, fixar pacotes confiáveis ​​sempre que possível e revisar fluxos de chat importados de fontes não confiáveis ​​pode ajudar, acrescentaram os pesquisadores.

O artigo apareceu originalmente no CSO.

Juliana Ribeiro
Juliana Ribeiro

Juliana Ribeiro é uma respeitada e talentosa redatora que trabalha do Tudo SEO. Com um profundo entendimento das nuances do SEO e seu impacto na visibilidade digital, Juliana usa sua expertise para educar e inspirar os leitores.

Entrando na indústria da escrita como redatora freelancer, ela rapidamente subiu na hierarquia para se tornar uma voz confiável no campo do SEO. Sua jornada na revista é marcada por muitos artigos perspicazes que ajudaram muitas empresas a entender melhor e aproveitar o SEO para melhorar sua visibilidade online.

Juliana também dedicou uma grande parte de seu tempo para estudar as últimas tendências em SEO e manter-se atualizada sobre todas as mudanças no algoritmo do Google. Através de seu trabalho, ela se esforça para quebrar conceitos complexos em ideias fáceis de entender para profissionais de marketing de todos os níveis.