CVE-2025-59528 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Flowise 3.0.5 的 CustomMCP 节点存在**代码注入**漏洞。 💥 **后果**：攻击者可利用 `Function()` 构造函数直接执行任意 JavaScript 代码，导致**远程代码执行 (RCE)**。

🔍 **CWE**：CWE-94 (代码注入)。 📍 **缺陷点**：`convertToValidJSONString` 函数中，用户输入的 `mcpServerConfig` 未经安全验证，直接传入 `Function()` 构造函数执行。

📦 **厂商**：FlowiseAI。 🏷️ **产品**：Flowise。 ⚠️ **受影响版本**：**3.0.5** 及之前版本。

👑 **权限**：获得 Node.js 服务器的**完全控制权**。 📂 **数据**：可读取/修改服务器上的所有数据，甚至控制整个系统。

🚪 **门槛**：**低**。 🔑 **条件**：无需认证 (PR:N)，无需用户交互 (UI:N)，网络可达即可 (AV:N)。 ⚙️ **关键**：需触发 CustomMCP 节点处理用户输入的配置。

💻 **PoC**：有现成利用代码。 🔗 **来源**：GitHub 上已有多个 PoC 脚本 (如 `CVE-2025-59528.yaml`) 和 Nuclei 模板。 🔥 **在野**：数据未明确提及，但 PoC 公开意味着利用风险极高。

🔎 **自查**：检查是否运行 Flowise **3.0.5**。 🛠️ **扫描**：使用 Nuclei 模板 `http/cves/2025/CVE-2025-59528.yaml` 进行快速检测。 👀 **关注**：CustomMCP 节点的配置输入字段。

🛡️ **补丁**：**已发布**。 📢 **版本**：官方已发布 **3.0.6** 版本修复此漏洞。 🔗 **链接**：见 GitHub Releases 页面。

⏳ **临时规避**： 1️⃣ **升级**：立即升级至 **3.0.6+**。 2️⃣ **隔离**：若无法升级，限制 CustomMCP 节点的访问权限，禁止外部用户输入配置。 3️⃣ **监控**：监控服务器异常进程和网络连接。

🚨 **优先级**：**极高 (Critical)**。 📊 **CVSS**：9.8 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)。 💡 **建议**：**立即修复**！这是无认证远程代码执行，风险极大，建议优先处理。