Mã khai thác đã được công bố cho lỗ hổng RCE nghiêm trọng trong Flowise

Obsidian Security đã phát hành thông tin kỹ thuật và mã khai thác khái niệm (PoC) nhắm vào một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong Flowise, một nền tảng phổ biến dùng để xây dựng các luồng LLM và tác nhân AI.

Vấn đề này, được theo dõi dưới mã định danh CVE-2026-40933 với điểm số CVSS là 9.9, được tiết lộ vào tháng 4 cùng với các khiếm khuyết bảo mật khác ảnh hưởng đến hệ sinh thái AI dựa trên giao thức MCP của Anthropic. Flowise là một nền tảng mã nguồn mở cung cấp giao diện kéo-thả cho các nhà phát triển, hiện đã thu hút hơn 52.000 sao trên GitHub.

Bảo mật

Nguyên nhân gốc rễ

Theo OX Security, nguyên nhân gốc rễ của vấn đề là một lỗ hổng tiêm lệnh hệ thống mang tính "theo thiết kế" trong giao thức MCP của Anthropic, lan truyền qua hệ sinh thái. Cố vấn của NIST mô tả CVE-2026-40933 là việc tuần tự hóa không an toàn các lệnh stdio trong bộ điều hợp MCP, cho phép kẻ tấn công thêm máy chủ MCP stdio với một lệnh tùy ý và đạt được việc thực thi mã.

Lỗ hổng bảo mật này tồn tại vì Flowise trước phiên bản 3.1.0 cho phép bất kỳ người dùng nào thêm một MCP mới và khi làm như vậy, có thể thêm bất kỳ lệnh nào, cho phép thực thi mã trên hệ điều hành cơ bản.

Cơ chế khai thác "một cú nhấp chuột"

Theo Obsidian, lỗi này có thể được khai thác bởi những kẻ tấn công để chiếm quyền kiểm soát máy chủ chỉ đơn giản bằng cách thuyết phục người dùng nhập một luồng chat (chatflow) được tạo sẵn độc hại. Hành động nhập này kích hoạt việc thực thi mã tùy ý trên máy chủ.

"Bất kỳ người dùng nào có thể tạo hoặc chỉnh sửa chatflow đều có thể thêm Công cụ MCP Tùy chỉnh và cung cấp cấu hình MCP stdio độc hại. Trong thực tế, điều này đòi hỏi một nội bộ độc hại hoặc tài khoản người dùng bị xâm phạm," Obsidian lưu ý.

Một kẻ tấn công từ xa có thể bao gồm một lệnh độc hại trong cấu hình Công cụ MCP Tùy chỉnh, xuất luồng chatflow dưới dạng JSON và chia sẻ nó với nạn nhân. Tải này lạm dụng chức năng hợp pháp của Flowise để thực thi lệnh độc hại trong quá trình nhập.

Quy trình cụ thể diễn ra khi menu thả xuống "Available Actions" (Các hành động có sẵn) trong nút MCP Tùy chỉnh của Flowise cố gắng liệt kê các công cụ từ máy chủ MCP được cấu hình. Với phương thức vận chuyển stdio, việc liệt kê sẽ khởi động lệnh đã cấu hình. Vì menu thả xuống tải khi luồng chat được nhập hiển thị trên canvas, nên việc nhập riêng biệt cũng có thể kích hoạt lệnh đó.

Tác động và Khuyến nghị

Obsidian đã xuất bản mã PoC, khi được nhập, sẽ tạo một shell quay lại địa chỉ cầu của Docker cho máy chủ lưu trữ.

Bảo mật mạng

Obsidian cho biết việc khai thác thành công CVE-2026-40933 dẫn đến "thực thi cấp hệ điều hành với các đặc quyền của quy trình Flowise, thường là root trong các triển khai dạng container. Mọi thông tin đăng nhập được lưu trữ trong nền tảng đều có thể đọc được. Mọi dịch vụ được kết nối đều có thể tiếp cận được."

Công ty an ninh mạng lưu ý rằng Flowise Cloud không bị ảnh hưởng vì nó đã tắt MCP stdio. Tuy nhiên, các phiên bản tự lưu trữ (self-hosted) dễ bị tấn công theo mặc định.

Người dùng đang chạy các phiên bản Flowise tự lưu trữ được khuyến nghị cập nhật lên phiên bản 3.1.0 hoặc mới hơn ngay lập tức để vá lỗ hổng này.