Foto: SecurityWeek
Obsidian Security objavio je tehničke pojedinosti i proof-of-concept (PoC) kôd za udaljeno izvođenje kôda u Flowiseu, ranjivost praćenu kao CVE-2026-40933 s CVSS ocjenom 9,9. Riječ je o problemu koji je u travnju objavljen zajedno s još nekoliko sigurnosnih nedostataka koji utječu na AI ekosustave oslonjene na Anthropicov MCP protokol. Flowise je otvorena platforma za izradu LLM tokova i AI agenata s drag-and-drop sučeljem, a SecurityWeek navodi da ima više od 52.000 zvjezdica na GitHubu.
Prema opisu iz NIST-ova savjetovanja, CVE-2026-40933 povezan je s nesigurnom serializacijom stdio naredbi u MCP adapteru, zbog čega napadač može dodati MCP stdio poslužitelj s proizvoljnom naredbom i tako postići izvođenje kôda. OX Security navodi da je temeljni uzrok “by design”, sistemska ranjivost umetanja naredbi u Anthropic MCP-u koja se širi kroz ekosustav. U slučaju Flowisea, ranjivost je postojala jer je verzija prije 3.1.0 dopuštala bilo kojem korisniku dodavanje novog MCP-a i proizvoljne naredbe, što je moglo omogućiti izvođenje kôda na temeljnom operacijskom sustavu.
Obsidian Security navodi da se bug može iskoristiti tako da se korisnika navede da uveze posebno pripremljeni chatflow. Sam čin uvoza pokreće proizvoljan kôd na poslužitelju. Tvrtka objašnjava da svaki korisnik koji može stvarati ili uređivati chatflowe može dodati Custom MCP Tool i unijeti zlonamjernu stdio MCP konfiguraciju; u praksi je, kako navode, za to potreban zlonamjerni insider ili kompromitirani korisnički račun. Mogući je i udaljeni scenarij u kojem napadač u konfiguraciju doda zlonamjernu naredbu, izveze chatflow kao JSON i pošalje ga žrtvi.
Obsidian dodatno pojašnjava da se iskorištava legitimna funkcionalnost Flowisea. Custom MCP node ima padajući izbornik “Available Actions” koji prikazuje alate dostupne na konfiguriranom MCP poslužitelju, a za njegovo popunjavanje canvas od pozadinskog sustava traži da enumerira alate poslužitelja. Kod stdio transporta sama enumeracija pokreće konfiguriranu naredbu. Budući da se izbornik učitava kada se uvezeni chatflow prikaže na canvasu, sam uvoz može pokrenuti naredbu. Obsidian je objavio i PoC kôd koji nakon uvoza uspostavlja shell prema Dockerovoj bridge adresi na hostu.
Prema Obsidian Securityju, uspješno iskorištavanje CVE-2026-40933 vodi do izvršavanja na razini operacijskog sustava s privilegijama procesa Flowisea, često kao root u kontejnerskim implementacijama. Tvrtka navodi i da je svaka vjerodajnica pohranjena u platformi čitljiva te da je svaka povezana usluga dosegljiva. Flowise Cloud nije pogođen jer ima onemogućen stdio MCP, dok su samostalno hostirane instance ranjive po zadanim postavkama.
Vezane vijesti
