Le défaut de conception du nœud Custom MCP de Flowise a permis aux attaquants d’exécuter du JavaScript arbitraire via des configurations non validées.
Les acteurs de la menace ont trouvé un moyen d’injecter du JavaScript arbitraire dans la plateforme low-code Flowise pour créer des systèmes LLM et agents personnalisés.
L’injection de code a été possible grâce à une surveillance de la conception, évaluée à la gravité maximale, dans le nœud MCP personnalisé de la plate-forme, qui agit comme un connecteur enfichable permettant à l’agent IA d’une application de communiquer avec des outils externes via des serveurs MCP.
Selon une récente alerte VulnCheck, les pirates ont déjà commencé à exploiter la faille pour insérer du code JavaScript malveillant, l’analyse montrant près de 15 000 instances Flowise exposées sur l’Internet public.
La faille a été corrigée dans la version 3.0.6 de la plateforme de développement d’IA, le dernier déploiement étant la version 3.1.1, publiée le mois dernier.
Validation incorrecte des configurations MCP
Flowise est un service glisser-déposer permettant de créer un flux de modèle de langage étendu (LLM) personnalisé. Il permet aux utilisateurs de faire glisser le nœud MCP personnalisé dans leurs flux de travail et de coller les configurations nécessaires (JSON) pour pointer vers un serveur MCP externe.
Le problème réside dans le nœud MCP personnalisé qui permet à l’application de se connecter à n’importe quel serveur MCP externe à l’aide des configurations fournies par l’utilisateur. Dans la version 3.0.5, ces configurations ne sont pas correctement validées contre le code malveillant, permettant l’exécution de code à distance.
« Ce nœud analyse la chaîne mcpServerConfig fournie par l’utilisateur pour créer la configuration du serveur MCP », lit-on dans une description NVD de la faille. « Cependant, au cours de ce processus, il exécute le code JavaScript sans aucune validation de sécurité. Plus précisément, dans la fonction convertToValidJSONString, l’entrée de l’utilisateur est directement transmise au constructeur Function(), qui évalue et exécute l’entrée sous forme de code JavaScript. »
Comme la fonction nommée s’exécute avec tous les privilèges d’exécution Node.js, « elle peut accéder à des modules dangereux tels que child_process et fs », ajoute la description.
La faille est suivie sous CVE-2025-59528 et a reçu une note critique de CVSS 10.0 au moment de sa divulgation en septembre 2025. La faille a été classée sous « Contrôle inapproprié de la génération de code (injection de code) ».
Les pirates exploitent des instances non corrigées
Alors qu’un correctif est disponible depuis des mois, une découverte récente de VulnCheck place la première exploitation dans la nature le 6 avril. Caitlin Condon, vice-présidente de la recherche en sécurité au sein de la société de renseignement sur les vulnérabilités, a mis en garde contre cet abus via une publication sur LinkedIn.
« Tôt ce matin, le réseau Canary de VulnCheck a commencé à détecter une première exploitation de CVE-2025-59528, une vulnérabilité d’injection de code JavaScript arbitraire dans Flowise », a-t-elle écrit. « L’activité observée jusqu’à présent provient d’une seule adresse IP Starlink. » Environ 12 000 à 15 000 instances restaient exposées à l’époque, a-t-elle noté dans son message, même si l’on ne sait pas combien d’entre elles exécutaient une version vulnérable de Flowise.
Condon a ajouté deux autres vulnérabilités critiques de Flowise, une authentification manquante (CVE-2025-8943) et un téléchargement de fichier arbitraire (CVE-2025-26319), dans le message qui, selon elle, étaient également signalées contre une exploitation active par le réseau Canary. Des détails d’exploitation exclusifs, y compris la charge utile complète et les données de requête, ont été promis aux clients de Canary Intelligence. De plus, un exploit, PCAP, une règle YARA, des signatures réseau et un conteneur Docker cible ont été disponibles pour ses clients Initial Access Intelligence.
