La vulnerabilidad crítica en la plataforma de desarrollo AI ya está siendo explotada desde una IP de Starlink. Entre 12,000 y 15,000 instancias expuestas en internet corren riesgo de compromiso total.
VulnCheck detectó este 7 de abril los primeros intentos de explotación activa contra CVE-2025-59528, una vulnerabilidad de severidad máxima con CVSS 10.0 que permite ejecución remota de código en Flowise, la popular plataforma open-source para construir flujos de trabajo con modelos de lenguaje. La actividad maliciosa, originada desde una única dirección IP asociada a Starlink, targeting una superficie de ataque estimada entre 12,000 y 15.000 instancias expuestas públicamente en internet.
El fallo, parcheado en septiembre de 2025 con la versión 3.0.6, lleva más de seis meses en dominio público, lo que otorga a los atacantes una ventana amplia para desarrollar y desplegar exploits funcionales.
La vulnerabilidad reside en el nodo CustomMCP de Flowise, diseñado para configurar conexiones con servidores externos del Protocolo de Contexto de Modelos (MCP). Según el advisory de seguridad publicado por GitHub, el componente procesa el parámetro mcpServerConfig sin ninguna validación de seguridad antes de pasarlo al constructor Function() de JavaScript. Esto permite que cualquier entrada maliciosa se ejecute con los privilegios completos del runtime de Node.js, incluyendo acceso a módulos peligrosos como child_process para ejecución de comandos del sistema y fs para manipulación del sistema de archivos.
El vector de ataque explota el endpoint /api/v1/node-load-method/customMCP, que solo requiere un token de API válido para autenticarse. Una vez dentro, el atacante puede inyectar código JavaScript arbitrario que se evalúa en el contexto global del servidor. El proof-of-concept publicado demuestra cómo un atacante puede ejecutar comandos del sistema operativo simplemente incluyendo código malicioso en la configuración del servidor MCP.
El registro CVE-2025-59528 en NVD clasifica el fallo como CWE-94, correspondiente a control inadecuado de generación de código, y confirma la puntuación CVSS 3.1 de 10.0 con vector de ataque por red, baja complejidad, sin privilegios requeridos y sin interacción del usuario.
Caitlin Condon, vicepresidenta de investigación de seguridad en VulnCheck, alertó que esta es la tercera vulnerabilidad de Flowise con explotación activa documentada, sumándose a CVE-2025-8943 (CVSS 9.8) y CVE-2025-26319 (CVSS 8.9). La investigadora enfatizó que la combinación de una plataforma popular entre corporaciones grandes, una vulnerabilidad pública por más de seis meses y una superficie de ataque masiva de instancias expuestas crea las condiciones ideales para que los actores de amenazas realicen reconocimiento oportunista y explotación a escala.
Flowise es utilizada ampliamente por desarrolladores en prototipado de IA, usuarios no técnicos con herramientas no-code, y empresas que operan chatbots de atención al cliente y asistentes basados en conocimiento.
Las organizaciones que utilizan Flowise deben actualizar inmediatamente a la versión 3.0.6 o superior, la versión actual es 3.1.1 y evaluar si sus instancias requieren exposición pública a internet. Aquellas que mantengan instancias accesibles externamente deberían implementar controles de acceso adicionales, rotar tokens de API comprometidos y revisar logs en busca de actividad sospechosa hacia el endpoint vulnerable.
El parche introduce validación estricta del input antes de cualquier evaluación de código, cerrando el vector de inyección que permitía el compromiso completo del servidor.
FUENTE ORIGINAL
NVD / GitHub Advisory↗CURADO POR
Johan Ricardo