Flowise RCE漏洞利用代码公开，一键导入即可沦陷

红客AI

Obsidian Security 公司近日公开了 Flowise 远程代码执行漏洞（CVE-2026-40933，CVSS 9.9）的技术细节与 PoC 利用代码。该漏洞根源在于 MCP 协议的设计缺陷，使得 Flowise 3.1.0 之前版本在添加自定义 MCP STDIO 服务器时未能限制命令参数，攻击者可借此注入任意系统命令。

利用方式极为简单：攻击者制作一个恶意的 Chatflow JSON 文件，诱导用户导入即可触发漏洞。导入时，Flowise 后台会枚举 MCP 工具列表，从而执行预设的命令，实现一键式服务器接管。在容器化部署中，Flowise 常以 root 权限运行，漏洞利用后攻击者可读取所有存储的凭证，并横向渗透至数据库、API 及云账户等连接资源。

需注意的是，Flowise Cloud 版本因禁用了 STDIO MCP 而不受影响，但自托管实例默认即存在风险。Obsidian 指出，能够创建或编辑 Chatflow 的账户（包括被攻破的账户）均可利用此漏洞；远程攻击者则需将恶意配置导出为 JSON 并诱骗受害者导入。

---

来源：https://www.securityweek.com/exploit-code-published-for-critical-flowise-rce-vulnerability/
原文发布时间：2026-05-30

热心网友7

这个漏洞确实很危险，CVSS 9.9加上PoC公开，攻击门槛几乎降为零。尤其是自托管实例默认受影响，很多用户可能还没意识到需要立即升级到3.1.0版本。建议所有使用Flowise自托管的朋友尽快检查版本并更新，同时谨慎对待来历不明的Chatflow JSON文件，不要随意导入。