Flowise ist eine quelloffene Entwicklungsplattform, mit der sich über eine Drag-and-drop-Oberfläche maßgeschneiderte LLM-Abläufe und autonome Agenten zusammenstellen lassen. Die Schwachstelle steckt in der Verarbeitung von Konfigurationsdaten für die Verbindung zu einem externen MCP-Server: Der dabei von Nutzern gelieferte Eingabewert fließt ungeprüft in eine Funktion, die ihn als JavaScript-Code mit vollen Node.js-Laufzeitrechten ausführt.

Im Advisory von Flowise heißt es, da lediglich ein API-Token erforderlich sei, bedeute dies ein extremes Sicherheitsrisiko für den Geschäftsbetrieb und für Kundendaten. Der Fehler betrifft Flowise-Versionen bis 3.0.5 und wurde mit Version 3.0.6 geschlossen, die im September 2025 erschien.

Nach Angaben von VulnCheck wurden nun erstmals Ausnutzungsversuche gegen CVE-2025-59528 in freier Wildbahn beobachtet. Das deutet darauf hin, dass Angreifer verwundbare Installationen ins Visier nehmen.

„Dies ist eine kritische Schwachstelle in einer beliebten KI-Plattform, die von einer Reihe großer Unternehmen genutzt wird. Diese konkrete Schwachstelle ist seit mehr als sechs Monaten öffentlich bekannt, sodass Verteidiger Zeit hatten, sie zu priorisieren und zu patchen", erklärte Caitlin Condon, Vice President of Security Research bei VulnCheck.

Das Unternehmen beobachtete zwischen 12.000 und 15.000 öffentlich erreichbare Flowise-Instanzen. Wie viele davon eine verwundbare Version einsetzen, ist allerdings unklar.

„Die zum Internet hin offene Angriffsfläche von mehr als 12.000 exponierten Instanzen macht die beobachteten aktiven Scan- und Ausnutzungsversuche ernster, denn das bedeutet, dass Angreifer reichlich Ziele haben, um opportunistisch auszukundschaften und anzugreifen", so Condon.