CVE-2025-34267
KrytyczneCVSS 9.9Prawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 93 - wyżej niż 93% wszystkich znanych CVE
Streszczenie
Flowise w wersjach 3.0.1 do 3.0.8 oraz wszystkich późniejszych z włączoną opcją 'ALLOW_BUILTIN_DEP' zawiera podatność na zdalne wykonanie kodu (RCE) z ominięciem sandboksowania Node VM. Uwierzytelniony atakujący może wykorzystać zintegrowane moduły Puppeteer i Playwright do uruchomienia dowolnego pliku wykonywalnego na hoście.
Ocena ryzyka
Atakujący może przejąć kontrolę nad serwerem Flowise, wykonując dowolny kod w kontekście hosta, co prowadzi do pełnej kompromitacji systemu, kradzieży danych lub dalszego ataku na infrastrukturę.
Rekomendacja
Należy natychmiast zaktualizować Flowise do wersji 3.0.8 lub nowszej oraz wyłączyć opcję 'ALLOW_BUILTIN_DEP' w konfiguracji, jeśli nie jest niezbędna. Ograniczyć dostęp do narzędzi korzystających z Puppeteer/Playwright tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Flowise v3.0.1 < 3.0.8 and all versions after with 'ALLOW_BUILTIN_DEP' enabled contain an authenticated remote code execution vulnerability and node VM sandbox escape due to insecure use of integrated modules (Puppeteer and Playwright) within the nodevm execution environment. An authenticated attacker able to create or run a tool that leverages Puppeteer/Playwright can specify attacker-controlled browser binary paths and parameters. When the tool executes, the attacker-controlled executable/parameters are run on the host and circumvent the intended nodevm sandbox restrictions, resulting in execution of arbitrary code in the context of the host. This vulnerability was incorrectly assigned as a duplicate CVE-2025-26319 by the developers and should be considered distinct from that identifier.

