📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os atores da ameaça estão explorando uma falha de segurança de gravidade máxima no Flowise, uma plataforma de inteligência artificial (IA) de código aberto, de acordo com novas descobertas da VulnCheck.
A vulnerabilidade em questão é CVE-2025-59528 (pontuação CVSS: 10,0), uma vulnerabilidade de injeção de código que pode resultar na execução remota de código.
"O nó CustomMCP permite que os usuários insiram definições de configuração para se conectar a um servidor MCP (Model Context Protocol) externo", disse Flowise em um comunicado lançado em setembro de 2025. "Este nó analisa a string mcpServerConfig fornecida pelo usuário para construir a configuração do servidor MCP. No entanto, durante esse processo, ele executa o código JavaScript sem qualquer validação de segurança."
Flowise observou que a exploração bem-sucedida da vulnerabilidade pode permitir o acesso a módulos perigosos, como child_process (execução de comandos) e fs (sistema de arquivos), pois é executado com privilégios completos de tempo de execução do Node.js.
Em outras palavras, um agente de ameaça que usa a falha como arma pode executar código JavaScript arbitrário no servidor Flowise, levando ao comprometimento total do sistema, ao acesso ao sistema de arquivos, à execução de comandos e à exfiltração de dados confidenciais.
“Como apenas um token de API é necessário, isso representa um risco extremo de segurança para a continuidade dos negócios e para os dados do cliente”, acrescentou Flowise. Ele deu crédito a Kim SooHyun por descobrir e relatar a falha. O problema foi resolvido na versão 3.0.6 do pacote npm.
De acordo com detalhes compartilhados pelo VulnCheck, a atividade de exploração contra a vulnerabilidade originou-se de um único endereço IP Starlink. CVE-2025-59528 é a terceira falha do Flowise com exploração espontânea depois de CVE-2025-8943 (pontuação CVSS: 9,8), uma execução remota de código de comando do sistema operacional, e CVE-2025-26319 (pontuação CVSS: 8,9), um upload de arquivo arbitrário.
"Este é um bug de gravidade crítica em uma plataforma popular de IA usada por várias grandes corporações", disse Caitlin Condon, vice-presidente de pesquisa de segurança da VulnCheck, ao The Hacker News em um comunicado.
"Essa vulnerabilidade específica é pública há mais de seis meses, o que significa que os defensores tiveram tempo para priorizar e corrigir a vulnerabilidade. A área de superfície de ataque voltada para a Internet de mais de 12.000 instâncias expostas torna as tentativas ativas de varredura e exploração que estamos vendo mais sérias, pois significa que os invasores têm muitos alvos para reconhecer e explorar de forma oportunista. "
A vulnerabilidade em questão é CVE-2025-59528 (pontuação CVSS: 10,0), uma vulnerabilidade de injeção de código que pode resultar na execução remota de código.
"O nó CustomMCP permite que os usuários insiram definições de configuração para se conectar a um servidor MCP (Model Context Protocol) externo", disse Flowise em um comunicado lançado em setembro de 2025. "Este nó analisa a string mcpServerConfig fornecida pelo usuário para construir a configuração do servidor MCP. No entanto, durante esse processo, ele executa o código JavaScript sem qualquer validação de segurança."
Flowise observou que a exploração bem-sucedida da vulnerabilidade pode permitir o acesso a módulos perigosos, como child_process (execução de comandos) e fs (sistema de arquivos), pois é executado com privilégios completos de tempo de execução do Node.js.
Em outras palavras, um agente de ameaça que usa a falha como arma pode executar código JavaScript arbitrário no servidor Flowise, levando ao comprometimento total do sistema, ao acesso ao sistema de arquivos, à execução de comandos e à exfiltração de dados confidenciais.
“Como apenas um token de API é necessário, isso representa um risco extremo de segurança para a continuidade dos negócios e para os dados do cliente”, acrescentou Flowise. Ele deu crédito a Kim SooHyun por descobrir e relatar a falha. O problema foi resolvido na versão 3.0.6 do pacote npm.
De acordo com detalhes compartilhados pelo VulnCheck, a atividade de exploração contra a vulnerabilidade originou-se de um único endereço IP Starlink. CVE-2025-59528 é a terceira falha do Flowise com exploração espontânea depois de CVE-2025-8943 (pontuação CVSS: 9,8), uma execução remota de código de comando do sistema operacional, e CVE-2025-26319 (pontuação CVSS: 8,9), um upload de arquivo arbitrário.
"Este é um bug de gravidade crítica em uma plataforma popular de IA usada por várias grandes corporações", disse Caitlin Condon, vice-presidente de pesquisa de segurança da VulnCheck, ao The Hacker News em um comunicado.
"Essa vulnerabilidade específica é pública há mais de seis meses, o que significa que os defensores tiveram tempo para priorizar e corrigir a vulnerabilidade. A área de superfície de ataque voltada para a Internet de mais de 12.000 instâncias expostas torna as tentativas ativas de varredura e exploração que estamos vendo mais sérias, pois significa que os invasores têm muitos alvos para reconhecer e explorar de forma oportunista. "
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #flowise #ai #agent #builder #sob #exploração #ativa #de #cvss #10.0 #rce; #mais #de #12.000 #instâncias #expostas
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário