支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-8943 基础信息
漏洞信息
                                        # 未授权网络攻击者导致远程代码执行漏洞

## 概述

Flowise 的 *Custom MCPs* 功能被设计用于执行操作系统命令(如通过 `npx` 启动本地 MCP 服务)。然而,该功能在早期版本中存在严重安全漏洞。

## 影响版本

- Flowise **3.0.1 之前版本**

## 细节

- **默认无认证**:未明确配置时,Flowise 在默认安装状态下**不启用身份验证**。
- **缺乏 RBAC 控制**:系统内部的认证和授权机制薄弱,**未实现基于角色的访问控制(RBAC)**。
- **命令执行风险**:攻击者在未认证的情况下,可通过网络访问并**执行未受限制的操作系统命令**。

## 影响

- **远程代码执行(RCE)**:未经身份验证的攻击者可在受影响的 Flowise 实例上执行任意系统命令,带来严重安全隐患。
- **系统被接管风险**:可能导致服务器被完全控制,造成数据泄露、服务中断等后果。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unsupervised OS command execution leads to remote code execution by unauthenticated network attackers
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Custom MCPs feature is designed to execute OS commands, for instance, using tools like `npx` to spin up local MCP Servers. However, Flowise's inherent authentication and authorization model is minimal and lacks role-based access controls (RBAC). Furthermore, in Flowise versions before 3.0.1 the default installation operates without authentication unless explicitly configured. This combination allows unauthenticated network attackers to execute unsandboxed OS commands.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Flowise 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Flowise是FlowiseAI开源的一个用于轻松构建 LLM 应用程序的工具。 Flowise 3.0.1之前版本存在安全漏洞,该漏洞源于默认安装缺乏身份验证和基于角色的访问控制,可能导致执行未沙箱化的OS命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-8943 的公开POC
#POC 描述源链接神龙链接
1The Custom MCPs feature is designed to execute OS commands, for instance, using tools like `npx` to spin up local MCP Servers. However, Flowise's inherent authentication and authorization model is minimal and lacks role-based access controls (RBAC). Furthermore, in Flowise versions before 3.0.1 the default installation operates without authentication unless explicitly configured. This combination allows unauthenticated network attackers to execute unsandboxed OS commands. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-8943.yamlPOC详情
2CVE-2025-8943https://github.com/B1ack4sh/Blackash-CVE-2025-8943POC详情
3CVE-2025-8943https://github.com/Ashwesker/Blackash-CVE-2025-8943POC详情
4CVE-2025-8943https://github.com/Ashwesker/Ashwesker-CVE-2025-8943POC详情
三、漏洞 CVE-2025-8943 的情报信息

  • 标题: Flowise OS command remote code execution | JFSA-2025-001380578 - JFrog Security Research -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ### 关键信息

- **漏洞编号**: JFSA-2025-001380578
- **漏洞名称**: Flowise OS command remote code execution
- **CVE编号**: CVE-2025-8943
- **CVSS评分**: 9.8
- **严重性**: Critical
- **发现者**: Assaf Levkovitch of the JFrog Security Research Team
- **发布日期**: 2025年8月14日
- **最后更新日期**: 2025年8月14日

#### 摘要
未受监督的OS命令执行导致网络攻击者远程代码执行。

#### 组件
Flowise

#### 影响版本
()

#### 描述
```json
"inputs": {
    "mcpServerConfig": {
        "command": "touch",
        "args": [
            "/tmp/yofitoif1"
        ]
    },
    "loadMethod": "listActions"
}
```

#### 漏洞缓解措施
此问题没有提供任何缓解措施。

#### 参考资料
无
    Flowise OS command remote code execution | JFSA-2025-001380578 - JFrog Security Research
  • https://nvd.nist.gov/vuln/detail/CVE-2025-8943
四、漏洞 CVE-2025-8943 的评论
匿名用户
2026-01-15 06:08:56

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论