Flowise CVE-2025-59528: RCE CVSS 10 nel nodo CustomMCP, prima exploitation rilevata a sei mesi dalla patch

La CVE-2025-59528 (CVSS 10.0) colpisce Flowise, piattaforma open-source drag-and-drop per costruire flussi LLM e agenti AI con oltre 37.000 star su GitHub. La vulnerabilità risiede nel nodo CustomMCP: il parametro mcpServerConfig fornito dall'utente all'endpoint /api/v1/node-load-method/customMCP viene passato direttamente al costruttore Function() di JavaScript — funzionalmente equivalente a eval() — senza alcuna validazione, con pieno accesso ai moduli Node.js child_process e fs. La patch in versione 3.0.6 sostituisce Function() con JSON5.parse(). Come analizzato da SonicWall, la flaw è stata segnalata a settembre 2025, ma alla rilevazione del primo exploit (6 aprile 2026) migliaia di istanze risultavano ancora non aggiornate.

VulnCheck ha rilevato i primi attacchi dalla propria rete Canary il 6 aprile, con traffico proveniente da un singolo IP Starlink. Secondo CSO Online, al momento dell'exploitation erano ancora esposte tra 12.000 e 15.000 istanze internet-facing. Il post-exploitation osservato include raccolta di variabili d'ambiente con API key e credenziali cloud, enumerazione di file di configurazione, installazione di reverse shell e accesso ai log delle conversazioni AI. Flowise è la terza vulnerabilità con exploit in the wild dopo CVE-2025-8943 e CVE-2025-26319.

Versioni affette: Flowise ≥ 2.2.7-patch.1 e < 3.0.6.
Azione raccomandata: aggiornare immediatamente a Flowise 3.0.6 o superiore; bloccare l'accesso pubblico all'endpoint /api/v1/node-load-method/customMCP; abilitare l'autenticazione via API key se non già configurata.

Fonti: ACN, SonicWall, The Hacker News