Адміністраторам Flowise варто сприймати спільні chatflow-файли не як звичайні налаштування, а як потенційний кодовий ризик. CVE-2026-40933 дозволяє перетворити імпорт шкідливого chatflow у виконання команд на сервері через Custom MCP stdio adapter. GitHub вказує, що Flowise і flowise-components до 3.0.13 включно є вразливими, а 3.1.0 позначено як виправлену версію за advisory. Водночас Obsidian Security у оновленні від 31 травня радить self-hosted інсталяціям обмежити або вимкнути stdio MCP, якщо локальне виконання команд не є критично потрібним.
Практичний ризик у тому, як команди діляться AI-workflow шаблонами. JSON-файл може прийти з community-поста, тикета, листа від підрядника або з акаунта колеги, який уже скомпрометовано. Якщо авторизований користувач імпортує такий flow у Flowise, бекенд може перерахувати інструменти MCP і запустити налаштований процес. Після цього під загрозою опиняються API-ключі, збережені креденшали, токени баз даних, ключі провайдерів моделей і сервіси, до яких має доступ Flowise.
Кого це стосується
Ризик актуальний для self-hosted Flowise open-source та enterprise інсталяцій, де користувачі можуть створювати або імпортувати chatflows і де доступний Custom MCP зі stdio transport. За даними Obsidian, Flowise Cloud не зачеплено, бо stdio MCP там вимкнено. Публічний доступ до інстансу погіршує ситуацію, але не є обов’язковою умовою: достатньо скомпрометованого внутрішнього акаунта або довіреного оператора, який імпортує чужий шаблон.
| Що перевірити | Чому це важливо |
|---|---|
| Версія Flowise | GitHub позначає Flowise і flowise-components до 3.0.13 включно як вразливі, а 3.1.0 як виправлену advisory-версію. |
| Використання Custom MCP | Будь-який увімкнений stdio MCP шлях треба переглянути, бо він призначений для запуску локальних дочірніх процесів. |
| Останні імпорти chatflow | Шаблони з Discord, GitHub Gist, тикетів, листів або невідомих репозиторіїв потребують негайної перевірки. |
| Секрети у Flowise | Якщо імпортували недовірений chatflow, вважайте збережені API-ключі й підключені креденшали потенційно відкритими. |
Чому небезпечний саме імпорт
Це не класичний drive-by exploit у браузері. Зловмиснику потрібен шлях до користувача Flowise, який може імпортувати або редагувати chatflows. Підготовлений JSON містить Custom MCP конфігурацію, яка зловживає обробкою stdio-команд. Коли Flowise показує імпортований flow і завантажує доступні MCP actions, бекенд може стартувати налаштований MCP-процес. Файл не виглядає як програма, але на сервері поводиться як точка запуску команд.
Тому відповідь має включати і оновлення, і контроль процесів. Розглядайте Flowise chatflows як код: перевіряйте джерело, дивіться Custom MCP вузли, не імпортуйте шаблони одразу в production. Якщо адмінська Windows-станція завантажувала шаблон із підозрілої сторінки або архіву, перевірте її окремо; Gridinsoft Anti-Malware може допомогти знайти локальне шкідливе ПЗ, але серверні логи Flowise і секрети все одно треба аналізувати окремо.
Для близького server-side ризику в AI tooling порівняйте це з Langflow token hijack RCE і ChromaDB pre-auth server takeover. Якщо chatflow прийшов через фейкове AI-завантаження або підозрілу сторінку, дивіться також Deno RAT у фейкових завантаженнях для перевірки робочої станції.
Що зробити зараз
- Знайдіть усі self-hosted Flowise інстанси, включно зі staging і test контейнерами, де залишилися реальні API-ключі.
- Оновіть Flowise і flowise-components щонайменше до 3.1.0, а потім звірте поточні рекомендації Flowise та Obsidian перед повторним увімкненням ризикової MCP-функціональності.
- Якщо локальний stdio MCP не потрібен, переведіть Custom MCP у SSE-only режим, наприклад через
CUSTOM_MCP_PROTOCOL=sse, і не вимикайте MCP security checks у production. - Обмежте імпорт chatflow. Вимагайте review перед JSON із Discord, GitHub Gist, email, тикетів або handoff від підрядників.
- Перегляньте останні імпорти й Custom MCP вузли на неочікувані команди, аргументи, environment variables, outbound callbacks або нові креденшали.
- Ротуйте ключі провайдерів моделей, креденшали баз даних, webhook secrets і cloud tokens, якщо імпортували недовірений chatflow.
- Перевірте container, host і reverse-proxy логи на запуск дочірніх процесів, незвичні outbound-з’єднання, нові файли, scheduled tasks або доступ до secret storage.
FAQ
Це проблема лише для розробників?
Ні. Flowise часто запускають розробники, але production-інстанси можуть мати реальні ключі AI-провайдерів, доступ до баз даних, webhook secrets і workflow-дані клієнтів. Це вже зона відповідальності security та operations команд.
Чи достатньо оновитися до Flowise 3.1.0?
Це виконує вимогу GitHub advisory щодо patched version, але Obsidian вважає, що однієї валідації не завжди достатньо. Якщо stdio MCP не потрібен, вимкніть або обмежте його і ставтеся до імпортованих chatflows як до коду.
Чи потрібно ротувати ключі після підозрілого імпорту?
Так. Якщо імпорт міг запустити серверні команди, ротуйте збережені у Flowise креденшали та ключі підключених сервісів, бо атакувальник міг прочитати environment variables або сховище секретів.
Джерела
- GitHub Advisory Database. “Flowise: Authenticated RCE Via MCP Adapters.” GitHub, published April 15, 2026, updated April 16, 2026, accessed June 1, 2026. https://github.com/advisories/GHSA-c9gw-hvqq-f33r
- Obsidian Security. “1-Click RCE in Flowise (CVE-2026-40933): When Is stdio MCP Actually a Vulnerability?” Obsidian Security Blog, published May 28, 2026, updated May 31, 2026, accessed June 1, 2026. https://www.obsidiansecurity.com/blog/when-is-stdio-mcp-actually-a-vulnerability
- FlowiseAI. “Release [email protected].” GitHub Releases, accessed June 1, 2026. https://github.com/FlowiseAI/Flowise/releases/tag/flowise%403.1.0
