Die Low-Coding-Plattform Flowise zum Erstellen von AI-Agents und LLMs ist verwundbar. In der aktuellen Version haben die Entwickler eine Schwachstelle geschlossen.
Setzen Angreifer erfolgreich an der "kritischen" Lücke (CVE-2025-26319) an, können sie einem Bericht der Entdecker der Schwachstelle zufolge Fehler im Whitelist-Ansatz der Uploadfunktion ausnutzen, um Dateien auf Flowise-Servern zu überschreiben. So können sie unter anderem eigenen Code ausführen und die volle Kontrolle über Server erlangen.
Die Sicherheitsforscher geben an, die Lücke im Januar dieses Jahres an die Entwickler gemeldet zu haben. Mittlerweile soll es erste Attacken geben. Wie und in welchem Umfang diese ablaufen, ist derzeit unklar.
Im Changelog der aktuellen Flowise-Ausgabe 2.2.7-patch.1 geben die Entwickler an, die Schwachstelle geschlossen zu haben.
(
Kommentare