CVSS 10 пробив позволява пълен контрол над ИИ приложения и сървъри

Киберпрестъпници започнаха да експлоатират активно критична уязвимост (CVE-2025-59528) в Flowise – популярна платформа с отворен код за изграждане на ИИ агенти и LLM базирани системи.

Уязвимостта е с максимална оценка CVSS 10 и позволява изпълнение на произволен код, което я прави изключително опасна за организации, използващи подобни решения.

Какво представлява уязвимостта

Проблемът произтича от компонент в платформата – CustomMCP node, който:

• Позволява връзка с външни MCP сървъри
• Обработва входни данни без необходимите проверки

Ключовият риск:
Злонамерен потребител може да инжектира JavaScript код, който се изпълнява директно от системата.

Потенциални последствия

Експлоатацията на CVE-2025-59528 позволява:

• Отдалечено изпълнение на команди (RCE)
• Достъп до файловата система
• Компрометиране на ИИ агенти и автоматизирани процеси
• Потенциално пълен контрол върху сървъра

Това превръща уязвимостта в директен вход към корпоративни среди и чувствителни данни.

Активна експлоатация в реална среда

Според данни на VulnCheck:

• Първи атаки са засечени чрез Canary мрежата
• Активността засега идва от ограничен брой източници
• Засечен е трафик дори от Starlink IP

Въпреки това, експертите предупреждават – между 12 000 и 15 000 Flowise инстанции са достъпни онлайн, което създава сериозен потенциал за масова експлоатация.

Допълнителни уязвимости усложняват ситуацията

Освен CVE-2025-59528, се наблюдава активна експлоатация и на:

• CVE-2025-8943
• CVE-2025-26319

Комбинацията от множество пробиви увеличава риска от сложни и автоматизирани атаки.

Засегнати среди и риск профил

Flowise се използва широко от:

• Разработчици на ИИ решения
• Компании с чатботи за поддръжка
• Платформи за автоматизация и обработка на знания

Това означава, че атаките могат да засегнат както малки проекти, така и корпоративни среди.

Анализ: нова вълна атаки срещу ИИ инфраструктура

1. ИИ платформите като нова цел
С нарастващата им популярност, те стават високорискови активи.

2. Low-code инструментите увеличават атакуемата повърхност
По-лесна употреба = повече неправилни конфигурации.

3. JavaScript injection като универсален вектор
Позволява гъвкави и трудно засичащи се атаки.

Препоръки за защита

Организациите трябва незабавно да предприемат:

• Актуализация до версия 3.1.1 или минимум 3.0.6
• Ограничаване на публичния достъп до инстанции
• Мониторинг за подозрителни JavaScript изпълнения
• Изолиране на критични ИИ системи

CVE-2025-59528 е показателен пример за това как уязвимости в ИИ екосистемата могат да доведат до пълен компромис на инфраструктурата.

В контекста на масовото внедряване на ИИ решения, подобни пробиви изискват незабавна реакция и проактивна защита, тъй като прозорецът между разкриване и експлоатация става все по-кратък.