Die Schwachstelle betrifft die KI-Workflow-Plattform Flowise, konkret deren Funktion für eigene MCP-Server (“Custom MCPs”). Diese Funktion ist von vornherein dazu gedacht, Betriebssystembefehle auszuführen – etwa um über Werkzeuge wie npx lokale MCP-Server zu starten. Das eigentliche Problem liegt im schwachen Zugriffsmodell der Plattform: Flowise verfügt nur über rudimentäre Authentifizierung und Autorisierung und kennt insbesondere keine rollenbasierte Rechtevergabe. Hinzu kommt, dass die Standardinstallation in den betroffenen Versionen ohne jede Anmeldung läuft, sofern eine Authentifizierung nicht ausdrücklich eingerichtet wurde. Aus dem Zusammenspiel beider Umstände ergibt sich die Lücke: Ein Angreifer aus dem Netz kann ohne gültige Zugangsdaten die Befehlsausführungs-Funktion missbrauchen und beliebige Betriebssystembefehle ausführen. Diese laufen zudem ungeschützt ab, da keine Sandbox sie eingrenzt – der Angreifer erlangt damit weitreichenden Zugriff auf das darunterliegende System.