CVE-2025-71336: Kritisk Flowise-sårbarhed – opdater nu
Kritisk fejl i Flowise giver hackere fuld kontrol over din server uden login – opdater til version 3.0.6 straks.
Hvad er det?
Flowise er et open source-værktøj til at bygge AI-arbejdsgange (automatiserede processer drevet af kunstig intelligens). En kritisk sårbarhed i funktionen Custom MCP gør det muligt for en angriber at sende en særligt udformet besked til serveren og derved køre vilkårlige kommandoer på operativsystemet – uden at have et brugernavn eller adgangskode. Fejlen skyldes, at Flowise som standard kører uden adgangskodebeskyttelse, og at der ikke er nogen begrænsning på, hvem der må udføre systemkommandoer. Resultatet er, at en angriber kan overtage hele serveren eller containeren, som Flowise kører på.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og enkeltpersoner, der anvender Flowise version 2.2.7-patch.1 eller tidligere. Det gælder særligt:
- Virksomheder, der har installeret Flowise og eksponeret det på internettet – selv internt i et netværk kan det være risikabelt.
- Installationer, der kører uden brugernavn og adgangskode (standardopsætningen).
- Virksomheder, der bruger Flowise til at bygge AI-løsninger eller automatiserede processer med eksterne data.
Har du Flowise kørende og ikke aktivt sat FLOWISE_USERNAME og FLOWISE_PASSWORD, er du sandsynligvis sårbar.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan:
- Overtage din server fuldstændigt – køre egne programmer og kommandoer som om vedkommende sidder ved tastaturet.
- Stjæle data – tilgå alle filer, databaser og hemmeligheder (f.eks. API-nøgler og adgangskoder) gemt på serveren.
- Installere ransomware eller bagdøre – låse dine data inde eller bevare adgang til din server over længere tid.
- Sprede sig i dit netværk – bruge den kompromitterede server som springbræt til andre systemer.
Da angrebet ikke kræver login og kan udføres fra hele internettet, er risikoen for misbrug meget høj.
Hvor alvorligt er det?
CVSS-scoren er 9,8 ud af 10 (Kritisk). Det er den højest mulige risikovurdering i praksis. Tre faktorer gør det særligt alvorligt:
- Ingen login krævet: Angriberen behøver hverken brugernavn, adgangskode eller særlige rettigheder.
- Ingen brugerinteraktion: Din medarbejder behøver ikke klikke på noget – angrebet sker automatisk mod serveren.
- Fuld kompromittering: Angriberen opnår fuld kontrol over fortrolighed, integritet og tilgængelighed af dine data og systemer.
CWE-78 (OS Command Injection) er en af de mest udbredte og farlige sårbarhedskategorier og er konsekvent på OWASP’s top 10-liste over kritiske sikkerhedsrisici.
Hvad gør jeg nu?
Følg disse trin i prioriteret rækkefølge:
- Identificér om du bruger Flowise: Spørg din IT-ansvarlige eller leverandør, om Flowise er installeret i din virksomhed – lokalt eller i skyen.
- Opdater til version 3.0.6 eller nyere: Dette er den eneste sikre løsning. Opdateringen lukker sårbarheden.
- Aktiver adgangskodebeskyttelse med det samme: Sæt miljøvariablerne
FLOWISE_USERNAMEogFLOWISE_PASSWORD, hvis du ikke allerede har gjort det. Dette reducerer risikoen, men erstatter ikke opdateringen. - Begræns netværksadgang: Sørg for, at Flowise ikke er tilgængeligt direkte fra internettet, men kun fra dit interne netværk eller via VPN (et krypteret netværksforbindelseslag).
- Undersøg for tegn på kompromittering: Gennemgå serverlogfiler for usædvanlig aktivitet – især på endpointet
/api/v1/node-load-method/customMCP. - Kontakt Auroa, hvis du er i tvivl: Vi hjælper dig med at vurdere din eksponering og sikre din opsætning.
Opdater inden for 24-48 timer
Denne sårbarhed skal behandles som en akut situation. Opdater Flowise til version 3.0.6 eller nyere inden for de næste 24-48 timer. Hvis du ikke kan opdatere med det samme, skal du som minimum aktivere adgangskodebeskyttelse og afskære adgang til Flowise fra internettet. Husk, at standardinstallationen er usikker – sårbarhedens alvor kombineret med den lave tekniske adgangsbarriere for angribere gør den til et oplagt mål for automatiserede angreb og scanningsværktøjer, der kontinuerligt afsøger internettet for åbne systemer.
Tidslinje
Konkrete eksempler
Angriber overtager server via ubeskyttet API
En angriber scanner internettet for åbne Flowise-installationer og finder en SMV’s server, der kører standardopsætningen uden adgangskode. Ved at sende en særligt udformet JSON-besked til /api/v1/node-load-method/customMCP med det manipulerede header ‘x-request-from: internal’ får angriberen serveren til at downloade og køre et skadeligt program. Inden for minutter har angriberen fuld kontrol og begynder at exfiltrere data, herunder API-nøgler og kundeinformation.
Ransomware installeres via AI-udviklingsplatform
En virksomhed bruger Flowise til at prototype en AI-chatbot. Serveren er tilgængelig fra internettet til testformål og kører uden adgangskode. En angriber udnytter sårbarheden til at installere ransomware (software der krypterer dine filer og kræver løsepenge) direkte på serveren. Alle filer på serveren krypteres, og virksomheden modtager et krav om betaling for at få adgang til sine data igen.
Flowise bruges som springbræt i netværket
En angriber kompromitterer en Flowise-installation i et virksomhedsnetværk via en medarbejdercomputer, der allerede er inficeret med malware. Fra Flowise-serveren udforsker angriberen det interne netværk, finder adgang til virksomhedens filserver og kopierer fortrolige kontrakter og kundedata til en ekstern server – uden at nogen opdager det i ugevis.
Ofte stillede spørgsmål
Bruger vi overhovedet Flowise?
Flowise bruges typisk af udviklere og IT-teams til at bygge AI-løsninger og automatiserede arbejdsgange. Spørg din IT-ansvarlige, om det er installeret – det kan køre lokalt på en server, i en cloud-tjeneste eller i en container (et isoleret softwaremiljø). Søg efter ‘Flowise’ i din liste over installerede programmer, cloud-abonnementer eller Docker-containere.
Er vi i fare, selvom vi ikke har Flowise eksponeret på internettet?
Risikoen er lavere, men ikke nul. Hvis Flowise kører internt i dit netværk, kræver et angreb adgang til netværket – f.eks. via en kompromitteret medarbejdercomputer eller ved at en ekstern angriber allerede har fået fodfæste et andet sted. Du bør stadig opdatere og aktivere adgangskodebeskyttelse.
Vi har sat brugernavn og adgangskode – er vi så beskyttede?
Adgangskodebeskyttelse reducerer risikoen markant, men er ikke en komplet løsning. Sårbarheden kan potentielt udnyttes ved at omgå autentificering (loginproceduren) via det særlige header ‘x-request-from: internal’. Den eneste sikre løsning er at opdatere til version 3.0.6 eller nyere.
Hvad er en 'container', og er det et problem, at kun den kompromitteres?
En container er et isoleret softwaremiljø, der holder et program adskilt fra resten af serveren. Selvom angrebet primært rammer Flowise-containeren, kan en angriber med fuld adgang til containeren forsøge at bryde ud af den og tilgå det underliggende system eller andre systemer i dit netværk. Det begrænser ikke risikoen tilstrækkeligt.
Kan vi selv se, om vi er blevet angrebet?
Ja, delvist. Gennemgå dine serverlogfiler for forespørgsler mod stien
/api/v1/node-load-method/customMCP– særligt dem med HTTP-headeren ‘x-request-from: internal’. Usædvanlige processer, nye brugere eller filer, du ikke genkender, kan også være tegn. Kontakt os, hvis du er usikker – vi hjælper med at analysere.Hvad er OS Command Injection (CWE-78)?
OS Command Injection betyder, at en angriber kan ‘smutte’ egne systemkommandoer ind i et program, som derefter udfører dem på serveren. Det svarer til, at nogen snyder et system til at tro, at deres instruktioner er legitime. Denne type fejl giver typisk angriberen de samme rettigheder som det program, der kører – i dette tilfælde fuld kontrol over Flowise-serveren.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Flowise before 3.0.6 (affected versions 2.2.7-patch.1 and earlier) contains an unsandboxed remote code execution vulnerability in the Custom MCP feature, which is designed to execute OS commands such as launching local MCP servers. Because Flowise’s authentication and authorization model is minimal and lacks role-based access control, and the default installation runs without authentication unless FLOWISE_USERNAME and FLOWISE_PASSWORD are set, an attacker can send a crafted JSON payload with the header ‘x-request-from: internal’ to the /api/v1/node-load-method/customMCP endpoint to execute arbitrary OS commands, resulting in complete compromise of the platform container or server.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
