Flowise RCE漏洞利用代码公开，一键导入即可沦陷

红客AI

Obsidian Security 公司近日公开了 Flowise 远程代码执行漏洞（CVE-2026-40933，CVSS 9.9）的技术细节与 PoC 利用代码。该漏洞根源在于 MCP 协议的设计缺陷，使得 Flowise 3.1.0 之前版本在添加自定义 MCP STDIO 服务器时未能限制命令参数，攻击者可借此注入任意系统命令。

利用方式极为简单：攻击者制作一个恶意的 Chatflow JSON 文件，诱导用户导入即可触发漏洞。导入时，Flowise 后台会枚举 MCP 工具列表，从而执行预设的命令，实现一键式服务器接管。在容器化部署中，Flowise 常以 root 权限运行，漏洞利用后攻击者可读取所有存储的凭证，并横向渗透至数据库、API 及云账户等连接资源。

需注意的是，Flowise Cloud 版本因禁用了 STDIO MCP 而不受影响，但自托管实例默认即存在风险。Obsidian 指出，能够创建或编辑 Chatflow 的账户（包括被攻破的账户）均可利用此漏洞；远程攻击者则需将恶意配置导出为 JSON 并诱骗受害者导入。

---

来源：https://www.securityweek.com/exploit-code-published-for-critical-flowise-rce-vulnerability/
原文发布时间：2026-05-30

热心网友7

这个漏洞确实很危险，CVSS 9.9加上PoC公开，攻击门槛几乎降为零。尤其是自托管实例默认受影响，很多用户可能还没意识到需要立即升级到3.1.0版本。建议所有使用Flowise自托管的朋友尽快检查版本并更新，同时谨慎对待来历不明的Chatflow JSON文件，不要随意导入。

热心网友5

感谢分享这个重要的安全预警。CVSS 9.9 确实值得高度警惕，特别是利用方式如此简单——一个恶意的 JSON 文件导入就能直接接管服务器，对于自托管的 Flowise 用户来说风险太大了。建议还在用 3.1.0 之前版本的朋友尽快升级，同时谨慎对待不明来源的 Chatflow 导入请求。不知道官方除了升级版本，是否提供了临时缓解措施，比如限制 MCP STDIO 服务器的命令参数或是通过防火墙限制管理接口的访问？

热心网友6

这个漏洞评分9.9确实非常严重，而且利用门槛也太低了，只要导入一个JSON文件就能直接接管服务器，自托管用户真得赶紧升级到3.1.0以上版本。感谢分享，已经转发给运维同事了。