Vulnerabilidade crítica no Flowise expõe riscos à segurança de IA

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

Uma grave vulnerabilidade de segurança foi identificada na plataforma de inteligência artificial Flowise, com a classificação CVE-2025-59528, que possui um escore CVSS de 10.0, indicando sua severidade máxima. Essa falha, uma vulnerabilidade de injeção de código, permite a execução remota de código, possibilitando que atacantes executem JavaScript arbitrário no servidor Flowise. O problema reside no nó CustomMCP, que processa configurações de conexão com servidores externos sem validação de segurança adequada, permitindo acesso a módulos perigosos como child_process e fs, que podem comprometer completamente o sistema e permitir a exfiltração de dados sensíveis.

A Flowise reconheceu a vulnerabilidade em um comunicado e informou que a exploração bem-sucedida requer apenas um token de API, o que representa um risco extremo à continuidade dos negócios e à segurança dos dados dos clientes. A falha foi descoberta por Kim SooHyun e corrigida na versão 3.0.6 do pacote npm. A atividade de exploração foi rastreada a partir de um único endereço IP da Starlink, e a vulnerabilidade é a terceira do Flowise a ser explorada ativamente, seguindo outras falhas críticas. A vice-presidente de pesquisa de segurança da VulnCheck, Caitlin Condon, destacou a gravidade do problema, especialmente considerando que existem mais de 12.000 instâncias expostas na internet.

Fonte: https://thehackernews.com/2026/04/flowise-ai-agent-builder-under-active.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
07/04/2026 • Risco: CRITICO
VULNERABILIDADE

Vulnerabilidade crítica no Flowise expõe riscos à segurança de IA

RESUMO EXECUTIVO
A vulnerabilidade CVE-2025-59528 no Flowise representa um risco crítico, permitindo a execução remota de código e comprometendo a segurança de dados. Com mais de 12.000 instâncias expostas, a urgência para mitigação é alta, especialmente para empresas que utilizam essa plataforma.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido a interrupções e vazamentos de dados.
Operacional
Comprometimento total do sistema, execução de comandos e exfiltração de dados.
Setores vulneráveis
['Tecnologia', 'Serviços financeiros', 'Saúde']

📊 INDICADORES CHAVE

CVSS score: 10.0 Indicador
Mais de 12.000 instâncias expostas na internet Contexto BR
Terceira vulnerabilidade do Flowise explorada ativamente Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se a versão 3.0.6 do Flowise está implementada.
2 Aplicar o patch disponível e revisar as configurações de segurança do servidor.
3 Monitorar tentativas de acesso não autorizado e atividades suspeitas nas instâncias do Flowise.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de plataformas de IA amplamente utilizadas, que podem comprometer dados sensíveis e a continuidade dos negócios.

⚖️ COMPLIANCE

Implicações diretas na conformidade com a LGPD devido ao risco de vazamento de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).