Eine NIST-Meldung beschreibt CVE-2026-40933 als unsichere Serialisierung von stdio-Befehlen im MCP-Adapter. Dadurch kann ein Angreifer einen MCP-stdio-Server mit einem beliebigen Befehl hinzufügen und so Code zur Ausführung bringen. Der Schwachstelle lag zugrunde, dass Flowise vor Version 3.1.0 jedem Nutzer erlaubte, einen neuen MCP samt beliebigem Befehl einzutragen, was die Codeausführung auf dem zugrunde liegenden Betriebssystem ermöglichte.
Laut OX Security liegt die eigentliche Ursache in einer „prinzipbedingten“, systemischen Befehlsinjektion in Anthropics MCP, die sich durch das gesamte Ökosystem fortpflanzt. Flowise wurde dabei als eines der betroffenen Produkte benannt.
„Jeder Nutzer, der Chatflows erstellen oder bearbeiten kann, kann ein Custom MCP Tool hinzufügen und eine bösartige stdio-MCP-Konfiguration hinterlegen. In der Praxis setzt das einen böswilligen Insider oder ein kompromittiertes Benutzerkonto voraus“, erklärt Obsidian.
Ein entfernter Angreifer könne einen schädlichen Befehl in die Konfiguration eines Custom MCP Tools einbetten, den Chatflow als JSON exportieren und mit dem Opfer teilen. Der Schadcode missbrauche dabei legitime Funktionen von Flowise, um den Befehl während des Imports auszuführen.
Den Mechanismus beschreibt Obsidian so: Der Custom-MCP-Knoten von Flowise besitze ein Auswahlmenü „Available Actions“, das die vom konfigurierten MCP-Server bereitgestellten Werkzeuge auflistet. Um dieses Menü zu füllen, fordert die Arbeitsfläche das Backend auf, die Werkzeuge des Servers aufzuzählen. Beim stdio-Transport startet diese Aufzählung den konfigurierten Befehl. Da das Menü bereits beim Rendern des importierten Chatflows lädt, kann allein der Import den Befehl auslösen.
Der veröffentlichte PoC-Code öffnet beim Import eine Shell-Verbindung zur Bridge-Adresse des Docker-Hosts.
Eine erfolgreiche Ausnutzung führt nach Angaben von Obsidian zu einer „Ausführung auf Betriebssystemebene mit den Rechten des Flowise-Prozesses, in containerisierten Umgebungen häufig root“. Jede in der Plattform gespeicherte Zugangsdaten sei lesbar, jeder angebundene Dienst erreichbar. Da Flowise im Produktivbetrieb typischerweise mit Datenbanken, APIs und Cloud-Konten verbunden sei, wachse der Schadensradius mit allem, woran die Plattform angebunden ist.
