Giriş
Hackernin, açık kaynaklı Flowise platformunda bulunan ve maksimum kritik seviyede olan bir güvenlik açığını (CVE-2025-59528) istismar ettiği bildirilmektedir. Bu açık, saldırganların, herhangi bir güvenlik kontrolü olmaksızın JavaScript kodu enjekte etmesine olanak tanıyarak komut yürütmesi ve dosya sistemi erişimi sağlaması riskini taşımaktadır.
Saldırı Nasıl Çalışıyor?
Güvenlik açığı, Flowise’in CustomMCP düğümünde kullanıcıdan alınan mcpServerConfig girişi üzerinde yapılan güvenlik kontrollerinin yetersiz olmasından kaynaklanmaktadır. Saldırganlar, dış Model Context Protocol (MCP) sunucusuna bağlanırken bu yapılandırma ayarlarını manipüle ederek JavaScript kodu çalıştırabilirler. Bu süreçte girilen verilere yönelik herhangi bir güvenlik doğrulaması yapılmadan kod yürütülebilir.
Etkilenen Sistemler
Flowise platformunu kullanan sistemler bu açıkdan etkilenebilir. Flowise, yapay zeka ajanları ve LLM tabanlı iş akışları oluşturmak için düşük kodlu bir platformdur. Kullanım alanları arasında şunlar bulunmaktadır:
- Yapay zeka prototipleri üzerinde çalışan geliştiriciler
- Kod yazma becerisi olmayan kullanıcılar için no-code araç setleri
- Müşteri destek chatbotları ve bilgi tabanlı asistanlar kullanan şirketler
Çözüm ve Korunma
Güvenlik araştırmacısı Caitlin Condon, VulnCheck şirketinin Canary ağı aracılığıyla CVE-2025-59528’in ilk kez istismarının tespit edildiğini bildirmiştir. Mevcut durumda, bu açıkla ilgili aktivite sınırlı görünse de çevrimiçi 12,000 ila 15,000 Flowise örneğinin mevcut olduğu belirtilmektedir. Bu açıkların yanı sıra, Flowise etkileyen diğer açıklara (CVE-2025-8943 ve CVE-2025-26319) yönelik de aktif istismarlar gözlemlenmektedir.
Flowise kullanıcılarının öncelikle 3.1.1 veya en azından 3.0.6 sürümüne güncellemeleri önerilmektedir. Ayrıca, eğer dış erişim gerekmiyorsa, bu örneklerin halka açık internetten kaldırılması da dikkate alınmalıdır.
Aksiyon
Eğer Flowise platformunu kullanıyorsanız, en kısa sürede yazılımınızı güncelleyerek riskleri minimize etmelisiniz. Dışa kapalı bir çalışma gereksiniminiz yoksa, sistemlerinizi halka açık internete kapatmayı düşünün. Uzun vadede, düzenli güncellemeler ve güvenlik denetimleri gerçekleştirerek sistemlerinizi sürekli olarak koruma altında tutmalısınız.
