SchwachstellenKI-SicherheitHackerangriffe

Kritische Sicherheitslücke in Flowise: Exploit-Code veröffentlicht

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke in Flowise: Exploit-Code veröffentlicht
Zusammenfassung

Eine kritische Sicherheitslücke in Flowise, einer beliebten Open-Source-Plattform für die Entwicklung von KI-Agenten mit über 52.000 GitHub-Sternen, gefährdet weltweit selbstgehostete Instanzen. Die Schwachstelle CVE-2026-40933 mit einem CVSS-Score von 9,9 ermöglicht es Angreifern, über einen Trick beliebigen Code auf den Servern auszuführen: Ein Benutzer muss lediglich eine manipulierte Chatflow-Datei importieren, woraufhin der bösartige Code sofort mit den Rechten des Flowise-Prozesses ausgeführt wird – häufig mit Root-Berechtigung in Container-Umgebungen. Das Sicherheitsforschungsunternehmen Obsidian Security hat nun technische Details und Proof-of-Concept-Code veröffentlicht, was das Risiko erheblich erhöht. Die Lücke liegt in einem "by Design"-Designfehler von Anthropics MCP-Protokoll und betrifft alle Systeme, die diese Schnittstelle nutzen. Für deutsche Unternehmen und Behörden, die Flowise in der Produktion einsetzen – etwa für Customer-Service-Bots oder interne KI-Assistenten – stellt dies eine unmittelbare Bedrohung dar. Ein Patch (Version 3.1.0) existiert bereits, doch viele Administratoren sind möglicherweise noch nicht aktualisiert.

Die Schwachstelle wurde bereits im April dieses Jahres bekannt gemacht und steht im Zusammenhang mit systemischen Sicherheitsmängeln im MCP-Protokoll (Model Context Protocol) von Anthropic, das sich schnell in der KI-Ökosystem-Infrastruktur verbreitet hat.

Flowise, eine der beliebtesten Plattformen dieser Art mit über 52.000 Sternen auf GitHub, erlaubte vor Version 3.1.0 allen Benutzern, neue MCP-Verbindungen zu konfigurieren und dabei beliebige Befehle hinzuzufügen. Dies führte zu einer Command-Injection-Anfälligkeit, die direkten Zugriff auf das Betriebssystem ermöglichte.

Wie der Angriff funktioniert

Die Ausnutzung ist bemerkenswert einfach: Ein Angreifer kann eine böswillige Konfiguration in einer Custom-MCP-Tool-Einstellung platzieren, die Chatflow als JSON-Datei exportieren und dem Opfer zuschaffen. Beim Import wird die manipulierte Konfiguration vom System verarbeitet und der eingebettete Befehl automatisch ausgeführt – ohne dass der Benutzer weitere Aktionen durchführen muss.

Das technische Kernproblem liegt in der Funktionsweise des MCP-Adapters: Wenn eine importierte Chatflow auf dem Canvas dargestellt wird, fragt das System den Backend automatisch nach den verfügbaren Tools des konfigurierten MCP-Servers. Bei der Verwendung von stdio-Transport startet dieser Enumerierungsprozess den im Konfigurationsdatensatz hinterlegten Befehl. Die böswillige Aktion erfolgt damit völlig unbemerkt während des Import-Vorgangs.

Ausmaß der Bedrohung

Obsidian Security warnt vor katastrophalen Konsequenzen: Bei erfolgreicher Ausnutzung erhalten Angreifer Zugriff auf Betriebssystem-Ebene mit denselben Privilegien wie der Flowise-Prozess – oft root in containerisierten Umgebungen. Dies bedeutet, dass sämtliche in der Plattform gespeicherten Anmeldedaten lesbar sind und alle verbundenen Services und Cloud-Konten kompromittiert werden können. In produktiven Umgebungen, wo Flowise typischerweise mit Datenbanken, APIs und Cloud-Diensten verbunden ist, potenziert sich das Schadensausmaß erheblich.

Betroffene und sichere Versionen

Selbstgehostete Flowise-Instanzen sind standardmäßig verwundbar. Flowise Cloud ist nicht betroffen, da stdio MCP dort deaktiviert ist. Nutzer sollten dringend auf Version 3.1.0 oder höher aktualisieren.

Für deutsche Organisationen bedeutet dies: Unmittelbare Inventarisierung aller Flowise-Deployments, schnelle Patch-Management und Überprüfung von Zugriffsprotokollen auf verdächtige Aktivitäten sind erforderlich.

Ähnliche Artikel