Low-Coding-Tool: Kritische Sicherheitslücke mit Höchstwertung gefährdet Flowise

vor 21 Stunden 1

Die Entwickler der Low-Coding-Plattform Flowise haben insgesamt sieben Sicherheitslücken geschlossen. Fünf Schwachstellen gelten als "kritisch". Im schlimmsten Fall kann Schadcode auf Systeme gelangen. Eine gepatchte Version schafft Abhilfe.

Verschiedene Gefahren

Am Ende dieses Beitrags finden Interessierte die Warnmeldungen der Entwickler mit weiterführenden Informationen zu den Sicherheitslücken. Am gefährlichsten gilt eine "kritische" Schadcode-Schwachstelle mit Höchstwertung (CVSS v3 10/10), für die offensichtlich noch keine CVE-Nummer vergeben wurde. Weil im Kontext einer Verbindung zu einem Model-Context-Protocol-Server (MCP) JavaScript-Code offensichtlich nicht validiert wird, können entfernte Angreifer eigenen Code ausführen. Im Anschluss führt so etwas in der Regel dazu, dass sie die volle Kontrolle über Computer erlangen.

Durch das Ausnutzen der weiteren kritischen Lücken können Angreifer unter anderem Passwörter zurücksetzen, um sich unbefugt Zugriff zu verschaffen (CVE-2025-58434). Außerdem können Angreifer auf eigentlich abgeschottete Dateien zugreifen. Auch für diese Schwachstelle wurde offensichtlich noch keine CVE-Nummer vergeben.

Durch das erfolgreiche Ausnutzen einer weiteren Lücke (noch keine CVE-Nummer, Bedrohungsgrad "hoch") können Angreifer aufgrund einer unsicheren Standardkonfiguration aus der Sandbox ausbrechen und Systemkommandos ausführen. Das führe den Entwicklern zufolge dazu, dass Angreifer Schadcode aus der Ferne ausführen und Systeme über diesen Weg vollständig kompromittieren können.

Sicherheitsupdate installieren

Die Entwickler geben an, die Softwareschwachstellen in der Flowise-Version 3.0.6 aus der Welt geschafft zu haben. Ob es bereits Attacken gibt, ist derzeit nicht bekannt.

Zuletzt wurden im März dieses Jahres mehrere Sicherheitslücken in der Low-Coding-Plattform geschlossen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)

Gesamten Artikel lesen