网络安全研究人员发现威胁攻击者已找到向Flowise低代码平台注入任意JavaScript的方法。该平台主要用于构建定制化大语言模型LLM和Agent系统。Flowise : Build AI Agents And LLM Workflows Visually - OSTechNix这一代码注入漏洞源于平台自定义MCP节点的设计缺陷被评为最高严重级别该节点作为插件连接器使应用的AI Agent能够通过MCP服务器与外部工具通信。根据VulnCheck最新警报黑客已开始利用该漏洞插入恶意JavaScript代码分析显示近15000个Flowise实例暴露在公共互联网上。该漏洞已在AI开发平台3.0.6版本中修复最新发布的3.1.1版本于上月推出。Detecting command injection attacks in web applications based on novel deep learning methods | Scientific Reports技术细节MCP配置验证缺失Flowise是一项通过拖拽方式构建定制化大语言模型LLM流程的服务。用户可将自定义MCP节点拖入工作流并粘贴必要配置JSON以指向外部MCP服务器。问题出在允许应用使用用户提供配置连接任何外部MCP服务器的自定义MCP节点上。在3.0.5版本中这些配置未对恶意代码进行适当验证导致远程代码执行。美国国家漏洞数据库NVD描述称“该节点解析用户提供的mcpServerConfig字符串以构建MCP服务器配置但在此过程中会执行未经安全验证的JavaScript代码。具体而言在convertToValidJSONString函数内部用户输入直接传递给Function()构造函数该构造函数将输入作为JavaScript代码进行评估和执行。”由于该函数以完整Node.js运行时权限运行“可访问child_process和fs等危险模块”。该漏洞被追踪为CVE-2025-59528在2025年9月披露时被评定为CVSS 10.0的严重等级归类为“代码生成控制不当代码注入”漏洞。What is RCE vulnerability? Remote code execution meaning攻击现状黑客瞄准未修复实例尽管补丁已发布数月但VulnCheck最新发现首次野外利用发生在4月6日。漏洞情报公司安全研究副总裁Caitlin Condon通过LinkedIn发文警告该漏洞正遭滥用。她写道“今天凌晨VulnCheck的Canary网络开始检测到首次利用CVE-2025-59528的攻击活动这是Flowise中的任意JavaScript代码注入漏洞。目前观察到的活动源自单个Starlink IP。”她在帖子中指出约12000至15000个实例仍处于暴露状态但尚不清楚其中有多少运行着存在漏洞的Flowise版本。Condon在帖子中还提到另外两个关键Flowise漏洞身份验证缺失CVE-2025-8943和任意文件上传CVE-2025-26319表示Canary网络也监测到针对这些漏洞的活跃利用。完整攻击细节包括完整载荷和请求数据将提供给Canary Intelligence客户。此外漏洞利用代码、PCAP文件、YARA规则、网络特征和目标Docker容器已向其Initial Access Intelligence客户开放。