Popüler açık kaynaklı yapay zeka platformu Flowise'de kritik bir güvenlik açığı keşfedildi. CVE-2026-40933 koduyla takip edilen bu açık, saldırganların oturum açmış bir kullanıcının kötü amaçlı bir iş akışı dosyasını içe aktarması durumunda sunucuyu tamamen ele geçirmesine olanak tanıyor. Obsidian Security tarafından yapılan analize göre, bu açık GitHub'da 52.000'den fazla yıldıza sahip olan Flowise'in kendi kendine barındırılan sürümlerini etkiliyor. Flowise Cloud hizmeti ise bu açıktan etkilenmiyor.
Güvenlik açığı, Flowise'in Custom MCP aracında bulunuyor. Bu araç, kullanıcıların harici hizmetleri Model Context Protocol (MCP) ile entegre etmesine olanak tanıyor. stdio taşıma modu kullanıldığında, araç kullanıcı tarafından sağlanan bir komutu herhangi bir kısıtlama olmadan Flowise sunucusunda bir alt süreç olarak çalıştırıyor. Flowise, iş akışlarının dışa ve içe aktarılmasına izin verdiği için, saldırganlar kötü amaçlı bir komutu gizleyen bir chatflow dosyası oluşturabiliyor ve bu dosyanın içe aktarılmasıyla komut otomatik olarak çalışıyor.
Flowise, güvenlik açığına karşı bir yama yayınladı ancak Obsidian Security, bu yamanın kolayca atlanabileceğini belirtiyor. Yama, yalnızca izin verilen komutları beyaz listeye alan bir giriş doğrulama katmanı ekliyor. Ancak Obsidian'a göre, bu yaklaşım sorunun temel nedenini çözmüyor çünkü özellik kod çalıştırmak için tasarlanmış durumda ve saldırganlar izin verilen girdiler içinde kötü niyetli davranışlar sergileyebiliyor. Bu nedenle, kendi kendine barındırılan kurulumlar güncel sürümde bile varsayılan olarak savunmasız kalıyor.
Teknik Analiz
Obsidian Security, en etkili koruma yönteminin stdio MCP'yi devre dışı bırakmak olduğunu vurguluyor. Bunun yerine, Flowise'in Custom MCP protokolünün Server-Sent Events (SSE) olarak değiştirilmesi öneriliyor. Bu değişiklik, kod çalıştırma yolunu tamamen ortadan kaldırıyor. Ayrıca, ekiplerin içe aktarılan MCP yapılandırmalarını kod olarak ele almaları, yalnızca güvenilir kaynaklardan gelen dosyaları kullanmaları ve bilinmeyen kaynaklardan gelen paylaşılan iş akışlarını yüklememeleri gerektiği belirtiliyor.