- شناسه CVE-2025-55346 :CVE
- CWE-94 :CWE
- yes :Advisory
- منتشر شده: آگوست 14, 2025
- به روز شده: آگوست 14, 2025
- امتیاز: 9.8
- نوع حمله: Remote code execution(RCE)
- اثر گذاری: Arbitrary code execution(ACE)
- حوزه: نرم افزارهای کاربردی
- برند: Flowise
- محصول: Flowise
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری تزریق کد در Flowise به دلیل استفاده ناامن از سازنده تابع پویا dynamic Function constructor شناسایی شده است. این آسیب پذیری به مهاجمان شبکهای اجازه میدهد با ارسال یک درخواست POST ساده، کد جاوااسکریپت دلخواه را بدون محدودیت در محیط میزبان اجرا کنند که این موضوع منجر به اجرای کد از راه دور (RCE) میشود. این آسیبپذیری بسته به نسخه Flowise ممکن است بدون احراز هویت یا با احراز هویت قابل بهرهبرداری باشد.
توضیحات
آسیبپذیری CVE-2025-55346 از نوع تزریق کد (Code Injection) مطابق با CWE-94 است که در پلتفرم متن باز Flowise برای توسعه agentهای هوش مصنوعی و جریانهای کاری LLM استفاده می شود. در این آسیب پذیری، ورودی کاربر از طریق پارامتر mcpServerConfig در endpoint node-load-method/customMCP بهطور مستقیم به سازنده تابع پویا منتقل میشود. این سازنده، کد جاوااسکریپت را بدون هیچ محدودیتی اجرا میکند و به مهاجم اجازه میدهد دستورات سیستمی را از طریق ماژول child_process در Node.js اجرا کند. البته در صورتی که سرور Node.js مجوز اجرای این ماژول را داشته باشد و sandboxing محدود نشده باشد.
نمونه کد اثبات مفهومی (PoC) نشان میدهد که با ارسال درخواست POST حاوی پیلود مانند “(global.process.mainModule.require(‘child_process’).execSync(‘touch /tmp/foo’))” به endpoint مذکور، میتوان دستورات سیستمی مانند ایجاد فایل در مسیر /tmp را اجرا کرد. این حمله از راه دور قابل اجرا است، نیازی به سطح دسترسی اولیه ندارد، بدون تعامل کاربر انجام میشود و پیچیدگی پایینی دارد. پیامدهای بالقوه این آسیب پذیری شامل دسترسی غیرمجاز به دادههای حساس مانند اطلاعات ذخیرهشده در سرور، تغییر تنظیمات سیستم مانند نصب بدافزار و اختلال در عملکرد سرور مانند توقف سرویس یا کرش است. لازم به ذکر است که در نسخههای جدید Node.js و Flowise ممکن است mainModule deprecated شده باشد.
این آسیب پذیری بهویژه در محیطهای بدون احراز هویت، تهدید جدی محسوب می شود، زیرا هر مهاجم شبکهای میتواند بدون نیاز به اعتبارنامه به سرور دسترسی پیدا کند. تاکنون Flowise هیچگونه به روزرسانی یا پچ امنیتی برای رفع این ضعف منتشر نکرده است.
CVSS
| Score | Severity | Version | Vector String |
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| N/A | Flowise |
نتیجه گیری
با توجه به بحرانی بودن آسیبپذیری CVE-2025-55346 که امکان اجرای کد جاوااسکریپت دلخواه از راه دور (RCE) بدون نیاز به احراز هویت را فراهم میکند و با توجه به عدم انتشار پچ رسمی توسط Flowise، توصیه میشود دسترسی به endpoint حساس node-load-method/customMCP با استفاده از فایروال یا کنترل دسترسی شبکه (ACL) محدود شود. همچنین فعالسازی احراز هویت چندمرحلهای (MFA) و استفاده از رمزنگاری درخواستها مانند TLS با اعتبارسنجی client-side برای محافظت از APIها ضروری است. جداسازی سرورهای Flowise از شبکههای غیرقابل اعتماد و ایجاد محیط sandbox برای اجرای ماژولهای Node.js میتواند خطر اجرای دستورات سیستمی را کاهش دهد.
نظارت مستمر بر لاگهای سرور برای شناسایی درخواستهای POST مشکوک، بررسی فعالیتهای غیرمنتظره در سیستم فایل مانند ایجاد فایل در /tmp و تحلیل رفتار غیرعادی ماژولها باید انجام شود. همچنین استفاده از فایروال برنامه وب (WAF) برای فیلتر کردن پیلودهای مخرب و محدود کردن دسترسی به APIهای حساس توصیه میشود. در صورت امکان، توقف استفاده از Flowise تا ارائه پچ رسمی یا جایگزینی با پلتفرمهای ایمنتر میتواند خطر بهرهبرداری را به حداقل برساند. اجرای همزمان این اقدامات، ریسکهای مرتبط با RCE و دسترسی غیرمجاز به دادهها و سیستم را کاهش داده و امنیت کلی سرور و دادهها را حفظ میکند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-55346
- https://www.cvedetails.com/cve/CVE-2025-55346/
- https://research.jfrog.com/vulnerabilities/flowise-js-injection-remote-code-exection-jfsa-2025-001379925/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-55346
- https://vuldb.com/?id.320100
- https://nvd.nist.gov/vuln/detail/CVE-2025-55346
- https://cwe.mitre.org/data/definitions/94.html
