Kritik Akış Kusuru Saldırganlara Tam Sunucu Kontrolü Sağlıyor Siber Güvenlik

Kritik Akış Kusuru Saldırganlara Tam Sunucu Kontrolü Sağlıyor

Açık kaynaklı yapay zeka platformu Flowise'da, çalışan kavram kanıtlama (PoC) kodunun yanı sıra, oturum açmış bir kullanıcı kötü amaçlı bir iş akışı d...

Açık kaynaklı yapay zeka platformu Flowise'da, çalışan kavram kanıtlama (PoC) kodunun yanı sıra, oturum açmış bir kullanıcı kötü amaçlı bir iş akışı dosyasını içe aktardığında bir saldırganın sunucuyu ele geçirmesine olanak tanıyan kritik bir kusur da ortaya çıktı.

Obsidian Security'nin yeni analizine göre, CVE-2026-40933 olarak takip edilen hata, büyük dil modeli (LLM) iş akışları ve 52.000'den fazla GitHub yıldızına sahip AI aracıları oluşturmak için yaygın olarak kullanılan bir platform olan Flowise'ı etkiliyor. Kendi kendine barındırılan dağıtımlar varsayılan olarak güvenlik açığına sahiptir ancak yönetilen Flowise Cloud hizmeti etkilenmez.

Bulgu, firmanın başka bir açık kaynaklı yapay zeka platformu olan Langflow'taki benzer bir uzaktan kod yürütme (RCE) kusuruna ilişkin daha önceki araştırmasına dayanıyor. Obsidian, bu açıklamayla birlikte bir PoC istismarı yayınladı ve resmi düzeltmenin atlatılabileceği ve son sürümün açığa çıkarılabileceği konusunda uyardı.

Özel MCP Aracı Sunucu Komutlarını Oluşturur

Zayıf nokta, kullanıcıların harici hizmetleri Model Bağlam Protokolüne (MCP) bağlamasına olanak tanıyan bir özellik olan Flowise'ın Özel MCP aracında yatmaktadır.

Araç, stdio aktarımına ayarlandığında, kullanıcı tarafından sağlanan bir komutu Flowise sunucusunda çevresinde hiçbir sanal alan olmadan alt işlem olarak başlatır.

Flowise, kullanıcıların sohbet akışları olarak bilinen bu iş akışlarını dışa aktarmasına ve paylaşmasına olanak tanıdığından, saldırgan, kötü amaçlı bir komutu bu akışın içinde gizleyebilir.

Önemli Gelişmeler

Obsidian, iş akışı tuvale yüklenirken düzenleyicinin yapılandırılmış sunucuyu otomatik olarak sorgulaması nedeniyle, yalnızca böyle bir sohbet akışını içe aktarmanın komutu çalıştırmak için yeterli olduğunu buldu. Kodun yürütülmesinden önce herhangi bir kaydetme, çalıştırma veya onay adımına gerek yoktur.

Atlanabilecek Bir Yama

Sonuç ve Değerlendirme

Flowise, açıklamaya izin verilen komutların listelenmesine ve riskli argümanların engellenmesine izin veren bir giriş doğrulama katmanıyla yanıt verdi.

Ancak Obsidian, bu özelliğin nedenden ziyade belirtiyi ele aldığını, çünkü özelliğin kod yürütmek için tasarlandığını ve bir saldırganın izin verilen giriş içinde yine de kötü niyetli davranışlar sergileyebileceğini söyledi.

Teknik Analiz

Yapay zeka aracı platformlarındaki RCE kusurları hakkında daha fazlasını okuyun: Bilgisayar Korsanları Kritik Langflow Hatasını Sadece 20 Saatte İstismar Ediyor

Sonuçta, hem açık kaynak hem de kurumsal olarak kendi kendine barındırılan kurulumlar, mevcut sürümde bile varsayılan olarak savunmasız kalıyor. Obsidian, stdio MCP'nin, üzerinde çalışılabilecek doğrulama kontrollerinin arkasında bırakılması yerine, açıkça ihtiyaç duyulmadıkça kapatılması gerektiğini savundu.

Gelecekte Ne Bekleniyor?

En etkili koruma, Flowise'ın Özel MCP protokolünü, yürütme yolunu tamamen kaldıran Sunucu Tarafından Gönderilen Olaylara (SSE) değiştirerek stdio aktarımını devre dışı bırakmaktır.

Bu özelliğe güvenen ekiplere, içe aktarılan tüm MCP yapılandırmalarını kod olarak değerlendirmeleri, bunu güvenilir kaynaklarla sınırlamaları ve bilinmeyen kaynaklardan paylaşılan sohbet akışlarını yüklemekten kaçınmaları yönünde çağrıda bulunuldu.

Paylaş: