CEVIU Logo
Voltar

Código de exploit publicado para falha crítica de RCE no Flowise

Aprofundamento CEVIU

Aprofundamento

A CVE-2026-40933 não é um caso isolado de RCE no Flowise, é o terceiro bug crítico em menos de um ano, e o segundo em seis meses. Diferente da injeção JS arbitrária (CVSS 10.0) de setembro de 2025 ou da SSRF corrigida na mesma versão 3.1.0 que tenta consertar essa nova falha, a CVE-2026-40933 explora uma escolha arquitetônica deliberada: o suporte nativo ao transporte stdio no adaptador Custom MCP, projetado para integrar ferramentas locais via execução de processos filhos. O problema não está no parsing errado, mas na ausência total de sandboxing, o comando malicioso roda como root dentro do contêiner, sem restrições de namespace, capabilities ou seccomp. E o pior: o gatilho é passivo, basta importar um chatflow, sem executar, salvar ou confirmar nada.

O patch oficial (v3.1.0+) só adiciona uma lista branca de comandos permitidos e bloqueia argumentos perigosos como '&&', '|', '$()', mas não remove a execução. Pesquisadores da Obsidian já demonstraram bypasses com comandos como 'sh -c' seguidos de base64-encoded payloads, mostrando que a validação é facilmente contornada. Isso coloca o Flowise numa categoria rara: uma plataforma de IA cuja funcionalidade central, orquestrar agentes com execução local, é, por design, um vetor de ataque de alta severidade.

O que mudou

Em maio de 2025, o CEVIU já havia alertado sobre a CVE-2025-59528, uma falha de injeção JS com CVSS 10.0 que exigia interação ativa do usuário (como clicar num link malicioso). Agora, a CVE-2026-40933 elimina qualquer necessidade de engenharia social: a exploração é automática na importação. Também mudou o vetor, de injeção no lado cliente para execução remota no servidor, com privilégios elevados. Além disso, enquanto a correção anterior foi técnica e eficaz (remoção de eval), o patch atual é defensivo e frágil, reconhecido até pela equipe de segurança como insuficiente para eliminar o risco estrutural.

Por que isso importa

Flowise é usado por centenas de empresas brasileiras em ambientes de POC de IA, muitas delas conectadas a bancos de dados internos, APIs de RH e sistemas ERP. Um único chatflow comprometido pode levar à exfiltração de credenciais AWS armazenadas como variáveis de ambiente no contêiner, ou ao pivô para redes corporativas via conexões SSH configuradas no MCP. A falha também reforça um padrão perigoso em ferramentas de IA low-code: funcionalidades úteis (executar scripts locais, chamar CLI tools) são implementadas sem isolamento, transformando plataformas de desenvolvimento em superfícies de ataque expandidas. Para equipes de segurança, isso exige revisão imediata de políticas de importação de fluxos de trabalho e auditoria de todos os endpoints que aceitam conteúdo serializado de terceiros.

Linha do tempo

  1. CVE-2025-59528 divulgada: injeção JS arbitrária com CVSS 10.0 no Flowise v3.0.6

  2. Descoberta do React2Shell, falha crítica de RCE no protocolo Flight do React

  3. Exploração zero-day do KnowledgeDeliver via deserialização ViewState

  4. CVE-2026-45695 divulgada: RCE não autenticada no Kopia Backup

  5. CVE-2026-40933 divulgada: RCE crítica via serialização insegura no Flowise

Perguntas frequentes

O Flowise Cloud está vulnerável?

Não. O serviço gerenciado desativa o transporte stdio por padrão, o que elimina o caminho de exploração. A falha afeta apenas implantações auto-hospedadas com o Custom MCP configurado para stdio, um cenário comum em ambientes de desenvolvimento e testes internos.

Atualizar para a v3.1.0 resolve o problema?

Parcialmente. A versão 3.1.0 introduz validações de entrada, mas pesquisadores já demonstraram bypasses. O CEVIU recomenda desabilitar o stdio MCP e migrar para SSE, além de auditar todos os chatflows importados como código-fonte potencialmente malicioso.

Como identificar se minha instância está exposta?

Verifique se o arquivo de configuração do Flowise (geralmente flowise.config.ts ou .env) contém 'stdio' como protocolo no adaptador Custom MCP. Se sim, sua instância está vulnerável mesmo após atualização, pois a funcionalidade permanece ativa e explorável.

Essa falha tem relação com a RCE no Langflow mencionada pela Obsidian?

Sim. A Obsidian revelou que a descoberta foi feita aplicando o mesmo padrão de análise usado na CVE-2026-39872 do Langflow: foco em transportes de comunicação entre agentes e execução de subprocessos sem sandboxing. Ambas exploram a confiança cega em dados serializados durante importação de fluxos.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
01 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser
Código de exploit publicado para falha crítica de RCE