Flowise hatte die Schwachstelle in einem Hinweis im September 2025 beschrieben. Der CustomMCP-Node parst demnach die vom Nutzer bereitgestellte Zeichenkette mcpServerConfig, um daraus die MCP-Server-Konfiguration aufzubauen – und führt dabei JavaScript-Code ohne jede Sicherheitsvalidierung aus.

Weil der Code mit den vollen Rechten der Node.js-Laufzeitumgebung läuft, eröffnet eine erfolgreiche Ausnutzung den Zugriff auf riskante Module wie child_process für die Befehlsausführung und fs für den Dateisystemzugriff. „Da lediglich ein API-Token erforderlich ist, stellt dies ein extremes Sicherheitsrisiko für die Geschäftskontinuität und die Kundendaten dar", erklärte Flowise. Das Unternehmen schrieb die Entdeckung und Meldung der Lücke Kim SooHyun zu. Behoben wurde das Problem in Version 3.0.6 des npm-Pakets.

Nach Angaben von VulnCheck gingen die Ausnutzungsaktivitäten von einer einzelnen Starlink-IP-Adresse aus. CVE-2025-59528 ist bereits die dritte Flowise-Schwachstelle, die in freier Wildbahn ausgenutzt wird – nach CVE-2025-8943 (CVSS 9.8), einer Remote Code Execution über Betriebssystembefehle, und CVE-2025-26319 (CVSS 8.9), die das Hochladen beliebiger Dateien erlaubt.

„Dies ist eine kritische Schwachstelle in einer verbreiteten KI-Plattform, die von einer Reihe großer Unternehmen genutzt wird", erklärte Caitlin Condon, Vice President für Sicherheitsforschung bei VulnCheck, gegenüber The Hacker News.

Die Lücke sei seit mehr als einem halben Jahr öffentlich bekannt, so Condon weiter – Verteidiger hätten somit Zeit gehabt, sie priorisiert zu schließen. Die zum Internet hin exponierte Angriffsfläche von mehr als 12.000 erreichbaren Instanzen verschärfe jedoch die beobachteten Scan- und Ausnutzungsversuche, weil Angreifer damit reichlich Ziele für opportunistisches Auskundschaften und Ausnutzen vorfänden.