Die Ursache der Schwachstelle liegt im CustomMCP-Node von Flowise. Dieser stellt Konfigurationsoptionen bereit, um sich mit einem externen Server nach dem Model Context Protocol (MCP) zu verbinden. Dabei wertet die Komponente die vom Nutzer stammende Eingabe „mcpServerConfig“ in unsicherer Weise aus und kann JavaScript ausführen, ohne dessen Unbedenklichkeit zuvor zu prüfen.
Die Lücke wurde bereits im September öffentlich gemacht, verbunden mit dem Hinweis, dass eine erfolgreiche Ausnutzung zu Befehlsausführung und Zugriff auf das Dateisystem führt. Der Entwickler hat das Problem mit Flowise 3.0.6 behoben. Die aktuelle Version ist 3.1.1, die vor zwei Wochen veröffentlicht wurde.
Caitlin Condon von VulnCheck beschrieb die Beobachtung so: Das Canary-Netzwerk des Unternehmens habe früh am Morgen erstmals eine Ausnutzung von CVE-2025-59528 erkannt – einer mit CVSS 10 bewerteten Schwachstelle zum Einschleusen von beliebigem JavaScript-Code in die KI-Entwicklungsplattform Flowise.
Die beobachtete Aktivität erscheint bislang begrenzt und geht von einer einzelnen Starlink-IP-Adresse aus. Zugleich warnen die Forscher, dass derzeit zwischen 12.000 und 15.000 Flowise-Instanzen über das Internet erreichbar sind. Wie groß der Anteil tatsächlich verwundbarer Server darunter ist, bleibt unklar.
Laut Condon tritt die Aktivität rund um CVE-2025-59528 zusätzlich zu CVE-2025-8943 und CVE-2025-26319 auf – zwei weiteren Lücken in Flowise, für die bereits aktive Ausnutzung in freier Wildbahn beobachtet wurde. VulnCheck stellt Exploit-Beispiele, Netzwerksignaturen und YARA-Regeln derzeit ausschließlich seinen Kunden zur Verfügung.
Nutzern von Flowise wird empfohlen, möglichst zeitnah auf Version 3.1.1 oder zumindest 3.0.6 zu aktualisieren. Wer keinen externen Zugriff benötigt, sollte zudem erwägen, seine Instanzen aus dem öffentlichen Internet zu nehmen.
