Flowise 3.0.4 存在严重远程代码执行（RCE）漏洞风险

Flowise 3.0.4 被发现存在严重远程代码执行（RCE）漏洞

安全研究人员近日发现，Flowise 3.0.4 中存在一个严重的**远程代码执行（RCE）**漏洞。Flowise 是一款开源的低代码工具，用于构建大型语言模型（LLM）应用。该漏洞编号为 CVE-2024-XXXX（待分配），允许未经身份验证的攻击者在易受攻击的系统上执行任意代码，对部署该软件的组织构成重大安全风险。

技术细节

该漏洞源于 Flowise API 端点中的输入验证不当，使攻击者能够注入恶意负载。漏洞利用代码（Exploit-DB ID: 52440）已公开发布，展示了未经身份验证的用户如何通过发送精心构造的 HTTP 请求触发 RCE。该问题影响 Flowise 3.0.4 及之前版本，目前尚无缓解措施，唯一解决方案是升级。

关键技术细节：

• 攻击向量：通过 API 滥用实现未经身份验证的远程利用
• 影响：系统完全被攻陷，可能导致数据泄露或横向移动
• 漏洞利用可用性：公开发布的概念验证（PoC）代码
• 受影响组件：Flowise API 服务器（默认端口：3000）

影响分析

使用 Flowise 3.0.4 构建 LLM 工作流的组织面临严重风险，包括：

• 未经授权的系统访问：攻击者可控制主机
• 数据泄露：敏感的 LLM 训练数据或专有工作流可能被窃取
• 供应链攻击：被攻陷的 Flowise 实例可能成为更广泛网络渗透的入口点

由于漏洞利用代码已公开，威胁行为者可能在补丁发布前利用该漏洞发动攻击，因此形势紧迫。

建议措施

1. 立即行动：升级至最新版 Flowise（如已发布）或应用官方提供的补丁。
2. 网络隔离：在修复前将 Flowise 实例与关键内部系统隔离。
3. 监控：部署入侵检测系统（IDS）以监测针对 3000 端口的攻击尝试。
4. 访问控制：限制 API 访问仅允许可信 IP，并强制实施身份验证。

由于该漏洞攻击复杂度低且影响严重，安全团队应优先处理。请关注 Flowise 官方安全公告 以获取最新补丁和缓解指南。