CVE-2025-71338
Kritisk

CVE-2025-71338: Kritisk Flowise-sårbarhed – CVSS 10

Kritisk fejl i Flowise lader hackere skrive filer på din server og overtage den fuldstændigt – uden login.

CVSS Score
10
Offentliggjort
25/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24 timer

Hvad er det?

CVE-2025-71338 er en sårbarhed i AI-værktøjet Flowise, der giver angribere mulighed for at placere vilkårlige filer på din server. Fejlen ligger i et endpoint (et adgangspunkt i programmets API), der håndterer upload og behandling af dokumenter. Fordi programmet ikke tjekker filnavne ordentligt, kan en angriber bruge en teknik kaldet path traversal – det vil sige at navigere ud af den tilladte mappe ved hjælp af tegnsekvensen ../ – og dermed overskrive kritiske systemfiler. Når serveren efterfølgende genstarter, kan angriberens kode køre automatisk. Det kræver ingen kode, ingen adgangskode og ingen forudgående adgang at udnytte fejlen.

Hvem rammer det?

Sårbarheden rammer alle virksomheder og enkeltpersoner, der kører Flowise – en open source-platform til at bygge AI-chatbots og automatiseringsflows. Det er særligt relevant for:

  • Virksomheder der selv hoster Flowise på en server eller i skyen
  • Udviklere og IT-konsulenter der bruger Flowise til at bygge AI-løsninger for kunder
  • SMV’er der har taget Flowise i brug som del af en digital transformation eller automatiseringsprojekt

Bruger du en cloudbaseret Flowise-tjeneste, bør du kontakte din udbyder og spørge, om de har opdateret.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:

  • Fuld serverovertagelse: Angriberen kan køre egne programmer på din server (såkaldt Remote Code Execution, RCE).
  • Datatyveri: Alle data på serveren – herunder kundedata, API-nøgler og interne dokumenter – kan stjæles.
  • Ransomware: Din server kan krypteres og holdes som gidsel mod betaling.
  • Bagdør: Angriberen kan installere en skjult adgang og bevæge sig videre ind i dit netværk.
  • Overskrivning af kritiske filer: Filer som package.json kan manipuleres, så skadelig kode aktiveres automatisk ved næste serveropstart.

Hvor alvorligt er det?

Denne sårbarhed er vurderet til den højest mulige score: CVSS 10.0 – Kritisk. Det skyldes en kombination af faktorer:

  • Ingen login kræves – hvem som helst på internettet kan forsøge angrebet.
  • Ingen brugerinteraktion kræves – offeret behøver ikke klikke på noget.
  • Lav kompleksitet – angrebet er ikke teknisk krævende at udføre.
  • Fuld påvirkning – angriberen opnår fuld kontrol over fortrolighed, integritet og tilgængelighed af systemet.

Kort sagt: Enhver med internetadgang og kendskab til sårbarheden kan overtage en ubeskyttet Flowise-installation.

Hvad gør jeg nu?

Handl så hurtigt som muligt. Her er hvad du skal gøre:

  1. Identificér om du bruger Flowise: Spørg din IT-ansvarlige eller leverandør, om Flowise er i brug i din virksomhed.
  2. Opdatér straks: Installér den seneste version af Flowise, som indeholder en rettelse af denne fejl.
  3. Begræns adgangen midlertidigt: Hvis du ikke kan opdatere med det samme, så blokér offentlig adgang til Flowise via firewall eller VPN, så kun autoriserede brugere kan nå systemet.
  4. Undersøg logfiler: Gennemgå serverlogfiler for mistænkelig aktivitet, særligt kald til /api/v1/document-store/loader/process med usædvanlige filnavne.
  5. Tjek om systemet er kompromitteret: Hvis du er i tvivl, så kontakt en IT-sikkerhedsekspert til en gennemgang, inden serveren sættes i drift igen.
  6. Orienter din leverandør: Bruger du Flowise via en tredjepart, så kræv dokumentation for, at de har opdateret.
Tidsfrist

Opdatér inden for 24 timer

Sådan ser Auroa det

Vi anbefaler, at du behandler dette som en akut hændelse. Opdatér Flowise til den nyeste version med det samme, og blokér i mellemtiden al offentlig adgang til systemet. En CVSS-score på 10 er ekstremt sjælden og signalerer, at angrebet er simpelt at udføre og kan få katastrofale følger. Har du mistanke om, at din installation allerede er kompromitteret, skal du ikke genstarte serveren, før en sikkerhedsekspert har undersøgt den – en genstart kan nemlig aktivere skadelig kode, som en angriber måske allerede har lagt klar.

Tidslinje

25/06/2026
CVE offentliggjort
National Vulnerability Database (NVD) offentliggør CVE-2025-71338 med den maksimale CVSS-score på 10.0 – Kritisk.
25/06/2026
Proof-of-concept tilgængeligt
Tekniske detaljer og angrebsmetoden er tilgængelig offentligt i forbindelse med offentliggørelsen, hvilket gør det muligt for angribere at konstruere udnyttelseskode hurtigt.
25/06/2026
Patch udgivet
En opdateret version af Flowise, der lukker sårbarheden ved korrekt validering af fileName-parameteret, er tilgængelig via Flowise' officielle GitHub-repository og pakkemanageren npm.
26/06/2026
Automatiseret scanning forventes
Baseret på sårbarhedens lave angrebskompleksitet og høje CVSS-score forventes automatiserede bots at begynde at scanne internettet for sårbare Flowise-installationer inden for 24-48 timer efter offentliggørelse.

Konkrete eksempler

Overskrivning af package.json og serverovertagelse

En angriber sender en HTTP-forespørgsel til din Flowise-servers API med et manipuleret filnavn som ../../../../package.json. Flowise gemmer angriberens indhold i stedet for din rigtige package.json-fil, som styrer, hvilke programmer serveren kører. Næste gang serveren genstarter – for eksempel efter en automatisk opdatering – kører angriberens kode med fuld adgang til serveren.

Installation af bagdør til fremtidigt misbrug

Angriberen bruger path traversal til at skrive et skjult script til serveren og tilføjer det til en automatisk opstartsprocedure. Selv hvis Flowise efterfølgende opdateres og lukkes, har angriberen nu en permanent bagdør ind i dit system. Derfra kan vedkommende bevæge sig videre til andre systemer i dit netværk, stjæle data eller afvente et passende tidspunkt for et ransomware-angreb.

Masseangreb via automatiseret scanning

En trusselsaktør programmerer et automatiseret scanningsværktøj til at søge internettet igennem for åbne Flowise-installationer på standardporte. For hver sårbar installation udføres angrebet automatisk og uden menneskelig indgriben. Mange SMV’er med Flowise eksponeret mod internettet kan på denne måde kompromitteres i løbet af timer efter sårbarhedens offentliggørelse – uden at virksomhederne er specifikt udvalgt som mål.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

CWE-73

Original NVD-beskrivelse (engelsk)

Flowise contains a path traversal vulnerability in the /api/v1/document-store/loader/process endpoint that allows unauthenticated attackers to write arbitrary files to the filesystem. Attackers can exploit unsanitized fileName parameters with ../ sequences to overwrite critical files like package.json and achieve remote code execution when the application restarts.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
10
Visning
Hurtige fakta
CVE-ID
CVE-2025-71338
Offentliggjort
25/06/2026
Sidst opdateret
25/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.