Exploit crítico no Flowise permite tomada total do servidor

Exploit crítico no Flowise explodiu

Pesquisadores da Obsidian Security publicaram um exploit funcional para uma vulnerabilidade crítica de execução remota de código (RCE) no Flowise, plataforma open source com mais de 52 mil estrelas no GitHub usada para construir fluxos de IA e agentes LLM. A falha, identificada como CVE-2026-40933 com pontuação CVSS de 9,9 (em escala de 10), permite que um atacante assuma o controle total de servidores auto-hospedados bastando convencer um usuário autorizado a importar um chatflow malicioso. O exploit foi divulgado nesta semana e coloca em risco milhares de instalações ao redor do mundo.

O Flowise é uma ferramenta de código aberto que oferece uma interface visual drag-and-drop para criar aplicações baseadas em modelos de linguagem (LLMs). Por funcionar como camada de orquestração entre modelos, dados e serviços externos, armazena credenciais de APIs, chaves de acesso a bancos de dados e integrações com provedores de nuvem — tudo acessível a quem comprometer o servidor via exploit.

Vetor de ataque do exploit

A vulnerabilidade explorada está no suporte do Flowise ao protocolo MCP (Model Context Protocol) da Anthropic, especificamente no transporte stdio. O MCP stdio permite configurar um comando que o servidor executa como processo filho, sem sandbox ou separação de privilégios. Qualquer usuário com permissão para criar ou editar chatflows pode adicionar uma ferramenta MCP Custom com uma configuração maliciosa.

O ataque funciona em cadeia: o atacante cria um chatflow com um MCP Tool configurado para executar um comando arbitrário, exporta o chatflow como JSON e compartilha o arquivo com a vítima. Quando o usuário importa o chatflow no editor visual, o Flowise tenta enumerar as ferramentas do MCP para preencher o dropdown de ações disponíveis. Esse processo de enumeração executa o comando configurado — e o exploit é disparado sem que a vítima perceba.

Segundo a Obsidian Security, a execução bem-sucedida concede acesso em nível de sistema operacional com os privilégios do processo Flowise, que em implantações containerizadas costuma ser root. Todas as credenciais armazenadas na plataforma ficam acessíveis, assim como qualquer serviço conectado — bancos de dados, APIs e contas de nuvem.

Cronologia do exploit e correções

• 6 de março de 2025 — Flowise introduz o Custom MCP Tool (PR #4136), permitindo que usuários configurem servidores MCP stdio sem restrições.
• Correções intermediárias — Flowise adiciona camada de validação (CUSTOM_MCP_SECURITY_CHECK) com allowlist de comandos (node, npx, python, python3, docker), bloqueio de metacaracteres shell e proteção de variáveis de ambiente.
• 15 de abril de 2026 — GitHub Security Advisory publicado, versão 3.1.0 lançada com correções. Paralelamente, Trend Micro divulga ZDI-CAN-29411 (CVE relacionada ao CSV Agent com prompt injection para RCE, CVSS 9,8).
• 28 de maio de 2026 — Obsidian Security publica análise técnica detalhada e código PoC do exploit, demonstrando que a validação de entrada introduzida como correção pode ser contornada via pacotes npm maliciosos (npx -y attacker/foo) ou repositórios GitHub controlados pelo atacante.
• 30 de maio de 2026 — SecurityWeek amplia cobertura, alertando que a versão atual permanece potencialmente afetada devido às limitações da correção baseada em validação de entrada.

Mitigação imediata do risco

O Flowise Cloud não é afetado, pois o transporte stdio MCP está desabilitado nessa modalidade. Instâncias auto-hospedadas (open source e enterprise) são vulneráveis por padrão ao exploit. A recomendação imediata da Obsidian Security é desabilitar o stdio MCP definindo a variável de ambiente CUSTOM_MCP_PROTOCOL=sse, que força o uso do transporte HTTP em vez de execução de comandos locais.

Equipes de segurança devem seguir este checklist de resposta:

1. Atualizar o Flowise para a versão 3.1.0 ou superior imediatamente
2. Definir CUSTOM_MCP_PROTOCOL=sse para desabilitar stdio MCP
3. Auditar chatflows importados nos últimos meses em busca de configurações MCP suspeitas
4. Rotacionar todas as credenciais e chaves de API armazenadas no Flowise
5. Restringir permissões de criação e edição de chatflows a usuários essenciais
6. Monitorar logs do servidor em busca de processos filhos inesperados originados do processo Flowise
7. Executar o Flowise com privilégios mínimos (não como root) em containers isolados

A falha levanta uma questão estrutural no ecossistema de IA: quando uma funcionalidade é projetada para executar código, a fronteira entre “comportamento esperado” e “vulnerabilidade de segurança” torna-se ambígua. O MCP stdio é, por design, uma primitiva de execução de código — e plataformas que o expõem sem sandbox adequado repetem o padrão observado em vulnerabilidades similares no Langflow (CVE-2025-34291) e em outros orquestradores de IA.

Referências e fontes

• SecurityWeek — Exploit Code Published for Critical Flowise RCE Vulnerability
• Obsidian Security — 1-Click RCE in Flowise (CVE-2026-40933)
• GitHub Advisory — CSV Agent Prompt Injection RCE (GHSA-3hjv-c53m-58jj)
• GitHub Advisory — Authenticated RCE Via MCP Adapters (GHSA-c9gw-hvqq-f33r)