Popüler açık kaynaklı AI platformu Flowise'da kritik bir güvenlik açığı keşfedildi. Obsidian Security tarafından yapılan analizlere göre, CVE-2026-40933 koduyla izlenen bu zafiyet, saldırganların sadece bir workflow dosyası import ederek sunucuyu tamamen ele geçirmesine olanak tanıyor. Platform, LLM (Large Language Model) iş akışları ve AI ajanları oluşturmak için yaygın olarak kullanılıyor ve GitHub'da 52.000'den fazla yıldıza sahip. Self-hosted dağıtımlar varsayılan olarak savunmasız durumdayken, yönetilen Flowise Cloud hizmeti etkilenmiyor.
Güvenlik açığı, Flowise'ın Custom MCP aracında yatıyor. Bu özellik, kullanıcıların Model Context Protocol (MCP) aracılığıyla harici servisleri entegre etmesine olanak tanıyor. Araç stdio transport modunda kullanıldığında, kullanıcı tarafından sağlanan bir komutu Flowise sunucusunda alt süreç olarak çalıştırıyor. Bu işlem sırasında herhangi bir kumlama (sandbox) yapılmıyor, yani komut doğrudan sunucuda çalışıyor.
Flowise, kullanıcıların bu iş akışlarını (chatflow) dışa aktarmasına ve paylaşmasına izin veriyor. Bu da saldırganların içine kötü amaçlı bir komut gizlenmiş bir chatflow dosyası oluşturmasını ve başka kullanıcılara göndermesini mümkün kılıyor. Obsidian Security'nin tespitine göre, bu chatflow dosyasını import etmek bile yeterli; çünkü editor, workflow yüklendiğinde otomatik olarak yapılandırılmış sunucuya sorgu gönderiyor. Kaydetme, çalıştırma veya onay adımı gerekmeden kod çalışıyor.
Flowise geliştiricileri, güvenlik açığına karşı bir yama yayımladı. Yama, izin verilen komutları ve argümanları sınırlayan bir girdi doğrulama katmanı ekliyor. Ancak Obsidian Security, bu düzeltmenin yalnızca semptomu tedavi ettiğini, çünkü özelliğin doğası gereği kod çalıştırmak üzere tasarlandığını belirtiyor. Saldırgan, izin verilen girdiler içinde bile kötü niyetli davranışları ifade edebilir. Bu nedenle, self-hosted kurulumlar en son sürümde bile varsayılan olarak savunmasız kalıyor.
Obsidian Security, en etkili korunma yönteminin stdio MCP transport'unu devre dışı bırakmak olduğunu vurguluyor. Bunun yerine Server-Sent Events (SSE) protokolü kullanılmalı, böylece kod çalıştırma yolu tamamen ortadan kaldırılmalı. Eğer ekipler bu özelliğe ihtiyaç duyuyorsa, herhangi bir MCP yapılandırmasını kod olarak değerlendirmeli, yalnızca güvenilir kaynaklardan import etmeli ve bilinmeyen kaynaklardan gelen paylaşılmış chatflow'lardan kaçınmalıdır.
Bu güvenlik açığı, daha önce Langflow platformunda bulunan benzer bir RCE (Remote Code Execution) zafiyetini takip ediyor. Obsidian Security, bu keşifle birlikte çalışan bir PoC (Proof-of-Concept) kodu da yayımladı. Platformun yaygın kullanımı göz önüne alındığında, kullanıcıların hemen harekete geçmesi kritik önem taşıyor. Self-hosted Flowise kullanan herkes, stdio transport'unu devre dışı bırakmalı ve yalnızca güvenilir iş akışlarını kullanmalıdır.
Kaynak: infosecurity-magazine.com