Auf den Punkt: CVE-2026-40933 ermöglicht Remote Code Execution mit CVSS 9.9 durch unsanitisierte MCP-Konfigurationen in selbstgehosteten Flowise-Instanzen.
In selbstgehosteten Flowise-Deployments ermöglicht eine Sandboxing-Schwäche bei der Model Context Protocol (MCP)-Implementierung Post-Authentication Remote Code Execution. Angreifer können beliebige Betriebssystem-Befehle über das stdio-MCP-Interface ausführen.
Obsidian Security hat eine kritische Lücke in Flowise offengelegt, die es authentifizierten Angreifern ermöglicht, beliebige Betriebssystem-Befehle auszuführen. Die Schwachstelle (CVE-2026-40933) betrifft die stdio-Server-Implementierung des Model Context Protocol und wurde mit CVSS 9.9 bewertet. Ein Exploit ist bereits öffentlich verfügbar.
Das Problem liegt darin, dass Flowise Benutzern erlaubt, MCP-stdio-Server mit beliebigen Befehlen zu konfigurieren – diese werden anschließend vom Betriebssystem ausgeführt. Da das stdio-Interface auf lokale Prozessaufrufe ausgelegt ist, können Angreifer dadurch Dateisysteme, Datenbanken, Credentials und SSH-Zugriffe des Flowise-Prozesses missbrauchen. In containerisierten Umgebungen entspricht dies oft Root-Level-Zugriff auf den Host. Eine erfolgreiche Kompromittierung exponiertAPI-Schlüssel, Datenbanken, Cloud-Ressourcen und alle über Flowise erreichbaren SaaS-Anwendungen.
Flowise hatte mehrere Patch-Iterationen durchgeführt: Erst ein Standard-enabled Validierungs-Layer (#5232), dann Flag-Validierungen (#5741, #5943). Laut Obsidian Security können diese Schutzmechanismen jedoch unter bestimmten Bedingungen umgangen werden. Das Kernproblem – dass Benutzer stdio-MCP überhaupt konfigurieren können – wurde nicht adressiert. Flowise lehnte es ab, stdio-MCP standardmäßig zu deaktivieren und nur mit explizitem Opt-in freizuschalten, da man Features nicht „komplett abschalten“ wollte, die Nutzer verlassen könnten.
Flowise Cloud ist nicht betroffen, da stdio-MCP dort nicht aktiviert ist. Für selbstgehostete Deployments empfehlen die Forscher als einzige vollständige Mitigation, MCP stdio durch Setzen von CUSTOM_MCP_PROTOCOL=sse zu deaktivieren. Wer dies nicht kann, sollte zumindest Chatflow-Importe von untrusted Quellen prüfen und vertrauenswürdige Packages versionen-fixieren.
Quelle: www.csoonline.com · Erschienen 1. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.8.