Flowise mit kritischer Schwachstelle

17.03.2025 - Warnmeldung

Ein RCE-Angriff und damit die vollständige Kompromittierung des Servers sind durch eine Sicherheitslücke in Flowise möglich. Das zeigen die Untersuchungsergebnisse eines Sicherheitsforschers. Ein Patch steht zur Verfügung, das Betreiber rasch installieren sollten.

Platine mit Computerchip mit der Aufschrift KI

Übernahme des Servers möglich

Über die kritische Schwachstelle CVE-2025-26319 könnten Angreifende Daten einschleusen, auf sensible Daten zugreifen, kritische Systemdateien überschreiben und am Ende durch einen RCE-Angriff (Remote Code Execution) den Server vollständig übernehmen. Der Sicherheitsforscher beobachtete bereits eine Ausnutzung der Schwachstelle und veröffentlichte einen PoC (Proof of Concept), was die Wahrscheinlichkeit einer Ausnutzung erhöht. Die Sicherheitslücke besitzt einen CVSS-Base-Score von 9.8/10.

Flowise ist eine Open-Source-Plattform, mit der ohne Programmierkenntnisse KI-Anwendungen erstellt werden können. Das Produkt ist relativ weit verbreitet.

Empfehlung

Der Sicherheitsforscher empfiehlt einer der folgenden Maßnahmen:

Installieren Sie den verfügbaren Patch.
Ändern Sie den Speichertyp auf S3. Standardmäßig ist der Speichertyp auf Local gesetzt.

Flowise mit kritischer Schwachstelle

Übernahme des Servers möglich

Empfehlung

Weitere Informationen