KI-SicherheitSchwachstellenCyberkriminalität

Kritische Sicherheitslücke in Flowise: 12.000+ AI-Plattformen unter Angriffsfeuer

Kritische Sicherheitslücke in Flowise: 12.000+ AI-Plattformen unter Angriffsfeuer
Zusammenfassung

Eine kritische Sicherheitslücke in Flowise, einer beliebten Open-Source-Plattform für künstliche Intelligenz, wird derzeit aktiv von Angreifern ausgenutzt. Die Schwachstelle CVE-2025-59528 mit der Höchstbewertung von CVSS 10.0 ermöglicht es Angreifern, durch Code-Injection ferngesteuerten Code auszuführen und damit vollständige Kontrolle über betroffene Systeme zu erlangen. Flowise zufolge liegt das Problem in der unsicheren Verarbeitung von Konfigurationseinstellungen im CustomMCP-Knoten, der JavaScript-Code ohne Validierung ausführt und Zugriff auf kritische Node.js-Module wie child_process und das Dateisystem gewährt. Besonders besorgniserregend ist, dass über 12.000 Flowise-Instanzen im Internet exponiert sind und bereits von einer Starlink-IP-Adresse aus aktiv angegriffen werden. Die Schwachstelle bestand bereits über sechs Monate öffentlich, bevor die aktiven Exploitierungsversuche begannen. Für deutsche Unternehmen und Behörden, die Flowise zur KI-Entwicklung einsetzen, stellt dies ein erhebliches Risiko dar – ein erfolgreicher Angriff könnte zu vollständiger Systemübernahme, Datenexfiltration und Betriebsunterbrechungen führen. Ein sofortiges Update auf Version 3.0.6 ist daher zwingend erforderlich.

Die Sicherheitsforschungsgruppe VulnCheck hat enthüllt, dass Threat Actors bereits CVE-2025-59528 in Flowise aktiv ausnutzen. Die kritische Code-Injection-Schwachstelle ermöglicht Remote Code Execution (RCE) mit vollständigen Systemrechten.

Wie die Lücke funktioniert

Die Anfälligkeit liegt im CustomMCP-Node von Flowise. Dieser ermöglicht Benutzern, Konfigurationseinstellungen für externe MCP-Server (Model Context Protocol) einzugeben. Das System parst die Benutzereingaben, führt dabei aber JavaScript-Code ohne jegliche Sicherheitsvalidierung aus. Dadurch können Angreifer auf gefährliche Node.js-Module zugreifen — insbesondere child_process für Befehlsausführung und fs für Dateisystemzugriff.

Wie Flowise in seinem offiziellen Advisory von September 2025 warnt, können erfolgreiche Angriffe zu vollständiger Systemkompromittierung, Dateisystemzugriff und Exfiltration sensibler Daten führen. “Da nur ein API-Token erforderlich ist, stellt dies ein extremes Sicherheitsrisiko dar”, betont der Hersteller.

Umfang der Bedrohung

Laut VulnCheck sind derzeit über 12.000 Flowise-Instanzen im Internet erreichbar und damit für potenzielle Angreifer sichtbar. Die bisherige Exploitation stammt von einer einzelnen Starlink-IP-Adresse, doch das ändert nichts an der Ernstigkeit der Lage. Caitlin Condon, Vice President of Security Research bei VulnCheck, warnt: “Dies ist ein kritischer Bug in einer populären KI-Plattform, die von zahlreichen Großkonzernen genutzt wird.”

Kontext: Mehrfache Anfälligkeit

CVE-2025-59528 ist bereits die dritte Flowise-Sicherheitslücke mit aktiver Ausnutzung. Zuvor wurden CVE-2025-8943 (CVSS 9.8, OS Command RCE) und CVE-2025-26319 (CVSS 8.9, Datei-Upload) dokumentiert. Das Muster deutet auf systematische Sicherheitsprobleme in der Plattform hin.

Handlungsdruck für Betreiber

Die Lücke ist seit über sechs Monaten öffentlich bekannt — Verteidiger hatten Zeit zum Patchen. Das Flowise-Team hat die Sicherheitslücke in Version 3.0.6 des npm-Pakets behoben. Jedoch zeigt die anhaltende Exploitation, dass viele Betreiber noch nicht aktualisiert haben. Für deutsche Unternehmen und Organisationen, die Flowise einsetzen, ist sofortige Aktualisierung essentiell. Andernfalls riskieren sie nicht nur Datenverluste, sondern auch umfassende Systembereinigungen nach erfolgreichem Einbruch.

Ähnliche Artikel