Thought Leadership
Ein neu veröffentlichter Proof-of-Concept-Code für die Schwachstelle CVE-2026-40933 ermöglicht Angreifern die sofortige Übernahme von Flowise-Servern.
Das IT-Sicherheitsunternehmen Obsidian Security hat detaillierte technische Analysen und einen funktionsfähigen Proof-of-Concept-Code für eine kritische Sicherheitslücke in der Open-Source-Plattform Flowise veröffentlicht. Die Schwachstelle wird unter der Kennung CVE-2026-40933 geführt und weist mit einem CVSS-Wert von 9,9 eine der höchsten Dringlichkeitsstufen auf der internationalen Risikoskala auf. Flowise ist ein bei Entwicklern weitverbreitetes Werkzeug, das mit über 52.000 Sternen auf GitHub eine zentrale Rolle bei der visuellen Erstellung von Workflows für große Sprachmodelle und autonome KI-Agenten einnimmt.
Die Sicherheitslücke ermöglicht es entfernten Angreifern, beliebige Systembefehle auf den zugrundeliegenden Servern auszuführen. Betroffen sind alle selbstgehosteten Instanzen der Software vor der Version 3.1.0. Das Sicherheitsrisiko resultiert aus einer grundlegenden Designkomponente innerhalb der verwendeten Protokoll-Adapter und erfordert von Administratoren das unverzügliche Einspielen der bereitgestellten Sicherheitsupdates.
Unsichere Serialisierung im Anthropic Model Context Protocol
Die tieferliegende Ursache des Sicherheitsdefizits steht in direktem Zusammenhang mit dem Model Context Protocol von Anthropic, kurz MCP. Analysen des Sicherheitsdienstleisters OX Security zeigen, dass es sich um eine systemische Sicherheitswelle im Design der MCP-Schnittstelle handelt, die sich durch das gesamte Software-Ökosystem fortpflanzt. Konkret beschreibt die offizielle Warnmeldung des National Institute of Standards and Technology eine unsichere Serialisierung von Standard-Input-Output-Befehlen innerhalb des MCP-Adapters.
Flowise ermöglichte es Anwendern in den betroffenen Versionen, ohne ausreichende Validierungsprüfungen neue MCP-Komponenten hinzuzufügen. Wenn ein Benutzer einen benutzerdefinierten MCP-Standard-Server einrichtet, validierte das System die übergebenen Betriebssystembefehle nicht ausreichend gegen unbefugte Injektionen. Dadurch wird die legitime Kommunikationsschnittstelle zwischen dem KI-Modell und dem Host-System zu einem direkten Einfallstor für schadhafte Befehlsketten.
One-Click-Angriff über präparierte JSON-Dateien
Die Ausnutzung der Schwachstelle gestaltet sich in der Praxis als ein sogenannter One-Click-Angriff, der durch eine einfache Benutzerinteraktion in der grafischen Oberfläche ausgelöst wird. Ein Angreifer konstruiert hierzu eine schadhafte Konfiguration innerhalb eines benutzerdefinierten MCP-Werkzeugs und exportiert diesen gesamten KI-Workflow als JSON-Datei. Diese Datei wird anschließend über gezieltes Social Engineering oder kompromittierte Konten an ein potenzielles Opfer übermittelt.
Sobald ein berechtigter Benutzer diese präparierte JSON-Datei in seine lokale Flowise-Instanz importiert, nimmt der Angriff seinen Lauf. Die grafische Benutzeroberfläche von Flowise verfügt über ein Dropdown-Menü für verfügbare Aktionen, welches die vom konfigurierten MCP-Server bereitgestellten Werkzeuge auflistet. Um diese Liste zu füllen, sendet das Frontend im Hintergrund automatisch eine Anfrage an das Backend, um die verfügbaren Tools zu enumerieren. Bei der Verwendung des Standard-Transports über stdio startet dieser Enumerationsprozess unweigerlich den in der JSON-Datei hinterlegten Befehl des Angreifers. Das Ausführen des Schadcodes geschieht somit unmittelbar beim bloßen Rendern des importierten Workflows auf der Benutzeroberfläche, ohne dass das Modell vom Anwender explizit gestartet werden muss.
Massiver Explosionsradius durch administrative Root-Rechte
Der von Obsidian Security veröffentlichte Proof-of-Concept-Code demonstriert, dass der Import der manipulierten Datei eine Reverse-Shell direkt zur Docker-Bridge-Adresse des Host-Systems aufbaut. Da selbstgehostete Flowise-Instanzen in containerisierten Produktivumgebungen standardmäßig mit weitreichenden administrativen Privilegien ausgeführt werden, erlangen Angreifer über diesen Weg eine Codeausführung auf Betriebssystemebene mit Root-Rechten. Der logische Explosionsradius einer solchen Kompromittierung ist in modernen Cloud-Architekturen immens.
Innerhalb der Plattform sind sämtliche gespeicherten API-Schlüssel, Zugangsdaten und kryptografischen Token im Klartext auslesbar. Da Flowise im Produktivbetrieb als Orchestrierungsschicht direkt mit internen Unternehmensdatenbanken, externen Programmierschnittstellen und zentralen Cloud-Konten verknüpft ist, erhalten die Angreifer sofortigen Zugriff auf alle angebundenen Systeme der Unternehmensinfrastruktur. Im Gegensatz zu den selbstgehosteten Systemen ist die offizielle Flowise Cloud von dieser Schwachstelle nicht betroffen, da dort die stdio-Transportkomponente für das Model Context Protocol standardmäßig serverseitig deaktiviert ist.
