Une vulnérabilité de gravité 9,9 dans l’implémentation MCP stdio de Flowise peut permettre aux attaquants d’exécuter du code à distance dans des déploiements auto-hébergés.
Les entreprises qui utilisent la plate-forme légère et open source Flowise pour alimenter leurs charges de travail d’IA auto-hébergées doivent s’inquiéter d’un nouveau problème de gravité proche du maximum.
Les chercheurs d’Obsidian Security ont détaillé une vulnérabilité d’exécution de code à distance (RCE) en un clic affectant les déploiements Flowise auto-hébergés via sa mise en œuvre de serveurs stdio Model Context Protocol (MCP).
Le problème est essentiellement un échec du sandboxing des configurations MCP contrôlées par les attaquants, conduisant à l’exécution de code côté serveur.
« Le RCE post-authentification dans Flowise peut être déclenché d’un simple clic via une importation de chatflow malveillant avant toute sauvegarde ou exécution », ont déclaré les chercheurs dans un article de blog. « Le correctif officiel repose sur une validation des entrées qui est trivialement contournée et ne parvient pas à résoudre la cause première. »
Flowise est couramment utilisé pour développer des assistants d’IA internes, des applications de génération augmentée par récupération (RAG), des chatbots orientés client et des agents autonomes connectés aux systèmes d’entreprise.
La faille n’affecte pas Flowise Cloud, car stdio MCP y est désactivé. Pour le reste, lorsque la fonctionnalité est activée et est absolument nécessaire, il existe un compromis en matière de sécurité et de fonctionnalité. Les développeurs doivent comprendre et examiner activement les configurations des serveurs pour détecter d’éventuelles menaces, ont expliqué les chercheurs.
Le RCE en un clic affecte tout ce que Flowise peut atteindre
La vulnérabilité, identifiée comme CVE-2026-40933, affecte la mise en œuvre par Flowise des serveurs MCP stdio. Le stdio de MCP est conçu pour lancer des processus de serveur local et communiquer avec eux via des flux d’entrée et de sortie standard, permettant aux agents IA d’interagir avec les fichiers, les référentiels Git, les bases de données, les navigateurs et les informations d’identification locales.
Selon Obsidian Security, le problème vient du fait que Flowise permet aux utilisateurs de configurer des serveurs MCP stdio contenant des commandes arbitraires. Étant donné que ces commandes sont finalement exécutées par le système d’exploitation sous-jacent, un attaquant peut exécuter du code à distance avec les privilèges du processus Flowise.
Dans les déploiements conteneurisés, ont noté les chercheurs, cela peut effectivement fournir un accès au niveau racine à l’environnement hébergeant la plate-forme.
La faille a reçu une note CVSS de 9,9, avec une compromission réussie exposant potentiellement des clés API, des bases de données, des ressources cloud, des applications SaaS et d’autres actifs accessibles via Flowise.
Les chercheurs ont déclaré que les correctifs étaient insuffisants
La divulgation détaille une série d’efforts de correction déployés par Flowise visant à restreindre la façon dont les commandes MCP stdio peuvent être configurées et exécutées. Cependant, selon Obsidian, chaque itération reposait principalement sur des mécanismes de validation et de filtrage des commandes qui peuvent être contournés sous certaines conditions.
« Flowise a semblé reconnaître le risque et a renforcé le Custom MCP sur plusieurs cycles », ont noté les chercheurs. « #5232 a introduit CUSTOM_MCP_SECURITY_CHECK, une couche de validation activée par défaut pour les configurations MCP personnalisées. » Bien que les contrôles aient réduit les chemins d’exécution de commandes évidents, ils n’ont guère modifié la menace sous-jacente consistant à permettre aux utilisateurs de fournir des configurations MCP stdio, ont-ils déclaré.
Le signalement de la faille par Obsidian a déclenché un renforcement supplémentaire de la fonctionnalité avec la validation du drapeau dans les mises à jour #5741 et #5943. Ces mesures non plus n’ont pas entièrement éliminé la menace.
Lorsqu’on lui a demandé de traiter stdio MCP comme dangereux par défaut et d’exiger un consentement explicite, Flowise aurait déclaré vouloir « limiter ce que nous savons être mauvais sans désactiver complètement les fonctionnalités sur lesquelles les utilisateurs peuvent compter ». Obsidian a partagé un code d’exploitation de preuve de concept (POC) expliquant comment les protections actuelles de Flowise pourraient encore être contournées pour un RCE réussi.
La seule atténuation complète recommandée par les chercheurs consiste à désactiver MCP stdio en définissant « CUSTOM_MCP_PROTOCOL=sse ». Pour ceux qui ne le peuvent pas, sans entraver les opérations, il pourrait être utile d’épingler des packages fiables lorsque cela est possible et d’examiner les flux de discussion importés à partir de sources non fiables, ont ajouté les chercheurs.
