SchwachstellenKI-SicherheitHackerangriffe

Kritische Flowise-Sicherheitslücke: Hacker greifen bereits an

Kritische Flowise-Sicherheitslücke: Hacker greifen bereits an
Zusammenfassung

Sicherheitsforscher warnen vor einer kritischen Schwachstelle in Flowise, einer populären Open-Source-Plattform für die Entwicklung von KI-Agenten und Language-Model-Workflows. Die als CVE-2025-59528 eingestufte Lücke mit dem maximalen CVSS-Score von 10 ermöglicht es Angreifern, willkürliche Codes auszuführen und auf das Dateisystem zuzugreifen. Das Problem liegt in der unzureichenden Validierung von Benutzereingaben bei der Konfiguration externer MCP-Server – der eingegebene JavaScript-Code wird direkt mit vollständigen Node.js-Privilegien ausgeführt. Besonders besorgniserregend ist, dass bereits Exploitationsversuche in der freien Wildbahn beobachtet werden, obwohl die Patch-Version 3.0.6 bereits seit September 2025 verfügbar ist. Sicherheitsforscher haben zwischen 12.000 und 15.000 öffentlich erreichbare Flowise-Instanzen identifiziert – ein erhebliches Angriffspotenzial. Für deutsche Unternehmen und Behörden, die Flowise für KI-Anwendungen nutzen, ist umgehendes Patching erforderlich. Eine Aktualisierung auf Version 3.0.6 oder höher ist essentiell, um Datenverlust und unbefugten Systemzugriff zu verhindern.

Die Sicherheitsfirma VulnCheck hat erste konkrete Hinweise auf Exploitations-Versuche in freier Wildbahn dokumentiert. Das Problem liegt in der mangelhaften Validierung von Benutzereingaben bei der JavaScript-Codeverarbeitung. Konkret: Wenn Flowise-Nutzer externe MCP-Server (Model Context Protocol) konfigurieren, wird der eingegebene JavaScript-Code nicht überprüft, sondern direkt mit vollständigen Node.js-Laufzeitprivilegien ausgeführt. Diese architekturelle Schwäche erlaubt es Angreifern, mit nur einem API-Token kompletten Zugriff auf das System zu erlangen und sensible Daten abzuziehen.

Flowise selbst betont in seiner Sicherheitsmitteilung: “Da nur ein API-Token erforderlich ist, stellt dies ein extremes Risiko für die Geschäftskontinuität und Kundendaten dar.” Die betroffenen Versionen reichen bis 3.0.5. Das Patch-Update auf Version 3.0.6 wurde im September 2025 veröffentlicht.

Caitlin Condon, VP Security Research bei VulnCheck, warnt vor der Gefährlichkeit der Situation: “Dies ist eine Fehler mit kritischer Schweregrad in einer beliebten KI-Plattform, die von vielen großen Konzernen genutzt wird.” Die Kombination aus einer öffentlich dokumentierten Lücke und der großen Zahl exponierter Instanzen schafft ideale Bedingungen für opportunistische Angreifer, um gezielt nach verwundbaren Systemen zu scannen.

Für Organisationen in Deutschland gilt: Flowise-Deployments müssen sofort überprüft werden. Priorität sollte die Inventarisierung aller Flowise-Installationen haben, um festzustellen, welche Versionen im Einsatz sind. Unmittelbar sollte ein Update auf Version 3.0.6 oder neuer erfolgen. Zusätzlich empfiehlt sich eine Überprüfung von Systemlogs auf verdächtige Aktivitäten, insbesondere auf ungewöhnliche JavaScript-Codeausführungen und Dateisystemzugriffe. API-Token sollten überprüft und bei Verdacht auf Kompromittierung rotiert werden.

Die Tatsache, dass Hacker bereits aktiv nach verwundbaren Systemen suchen, unterstreicht die Dringlichkeit des Handelns. Unternehmen, die Flowise für geschäftskritische KI-Workflows nutzen, setzen ihre gesamte Infrastruktur und Kundendaten einem erheblichen Risiko aus, solange die Schwachstelle nicht gepatcht ist.

Ähnliche Artikel