Açık kaynaklı AI platformu Flowise'da kritik bir güvenlik açığı keşfedildi. CVE-2026-40933 olarak izlenen bu açık, oturum açmış bir kullanıcının kötü amaçlı bir iş akışı (chatflow) dosyasını içe aktarması durumunda saldırganın sunucunun tam kontrolünü ele geçirmesine olanak tanıyor. Obsidian Security tarafından yapılan analize göre, açık için çalışan bir proof-of-concept (PoC) kodu da yayınlandı. Flowise, GitHub'da 52.000'den fazla yıldıza sahip, büyük dil modelleri (LLM) iş akışları ve AI ajanları oluşturmak için yaygın olarak kullanılan bir platformdur. Kendi kendine barındırılan (self-hosted) dağıtımlar varsayılan olarak savunmasızken, yönetilen Flowise Cloud hizmeti etkilenmiyor.
Güvenlik açığı, Flowise'ın Custom MCP aracında yatıyor. Bu özellik, kullanıcıların harici hizmetleri Model Context Protocol (MCP) ile bağlamasına olanak tanır. Araç stdio taşıma moduna ayarlandığında, kullanıcı tarafından sağlanan bir komutu herhangi bir kumlama (sandbox) olmadan Flowise sunucusunda bir alt süreç olarak başlatıyor. Flowise, kullanıcıların bu iş akışlarını (chatflow) dışa aktarmasına ve paylaşmasına izin verdiğinden, bir saldırgan kötü amaçlı bir komutu iş akışı içinde gizleyebilir. Obsidian, böyle bir chatflow'u içe aktarmanın bile komutu çalıştırmaya yeterli olduğunu buldu; çünkü düzenleyici, iş akışı tuval üzerinde yüklenirken otomatik olarak yapılandırılan sunucuyu sorguluyor. Kodun çalışması için kaydetme, çalıştırma veya onay adımı gerekmiyor.
Flowise, güvenlik açığına yanıt olarak bir girdi doğrulama katmanı ekledi. Bu katman, izin verilen komutları beyaz listeye alıyor ve riskli argümanları engelliyor. Ancak Obsidian, bunun semptomu tedavi ettiğini, nedeni değil; çünkü özellik zaten kod çalıştırmak için tasarlanmış ve bir saldırgan izin verilen girdi içinde hâlâ kötü niyetli davranışı ifade edebilir. Sonuç olarak, kendi kendine barındırılan kurulumlar (hem açık kaynak hem de kurumsal sürümler) mevcut sürümde bile varsayılan olarak savunmasız kalıyor. Obsidian, stdio MCP'nin açıkça gerekli olmadıkça kapatılması gerektiğini, aksi takdirde atlatılabilen doğrulama kontrolleri arkasında çalışmaya devam ettiğini savundu.
En etkili koruma, stdio taşımasını devre dışı bırakmak ve Flowise'ın Custom MCP protokolünü Server-Sent Events (SSE) olarak değiştirmektir. Bu, yürütme yolunu tamamen ortadan kaldırır. Özelliğe bağımlı ekiplerin, içe aktarılan her MCP yapılandırmasını kod olarak ele alması, yalnızca güvenilir kaynaklarla sınırlaması ve bilinmeyen kaynaklardan paylaşılan chatflow'ları yüklemekten kaçınması öneriliyor. Bu açık, AI ajan platformlarındaki RCE zafiyetlerinin ne kadar tehlikeli olabileceğini bir kez daha gösteriyor.