Flowise, ein Open-Source-Tool zur Erstellung und Verwaltung von KI-gesteuerten Workflows, hat kürzlich eine schwerwiegende Sicherheitslücke identifiziert, die es Angreifern ermöglicht, aus der Ferne beliebigen Code auszuführen und sensible Daten zu exfiltrieren. Diese Schwachstelle betrifft insbesondere die `overrideConfig`-Funktion, die Entwicklern erlaubt, während der Ausführung Konfigurationen dynamisch in den Chainflow zu injizieren. Obwohl diese Funktion Flexibilität bieten soll, fehlt es an ausreichenden Sicherheitsmaßnahmen, was zu erheblichen Risiken wie Remote-Code-Ausführung, Sandbox-Escape, Denial-of-Service (DoS) und Server-Side Request Forgery (SSRF) führt. Angreifer können dadurch vollständige Kontrolle über Sprachmodell-Prompts erlangen, Servervariablen und Daten exfiltrieren sowie Konversationsabläufe manipulieren, wodurch Server und Unternehmen potenziellen Bedrohungen ausgesetzt sind. Um diese Sicherheitslücke zu beheben, wird dringend empfohlen, Flowise auf Version 2.1.4 oder höher zu aktualisieren. Als vorübergehende Maßnahme sollten Administratoren die `overrideConfig`-Funktion standardmäßig deaktivieren und eine explizite Positivliste von Variablen implementieren, die über `overrideConfig` geändert werden dürfen. Zudem wird empfohlen, das `vm2`-Paket und dessen Forks zu entfernen, da der Autor angibt, dass die Behebung der Schwachstelle schwierig ist. Stattdessen sollte das `isolated-vm`-Paket als sicherere Alternative verwendet werden. Diese Sicherheitslücke ist nicht die erste, die in Flowise entdeckt wurde. In der Vergangenheit wurden mehrere Schwachstellen identifiziert, darunter eine Authentifizierungsumgehung in Version 1.6.5, die es Angreifern ermöglichte, ohne gültige Anmeldeinformationen auf administrative Funktionen zuzugreifen. Zudem wurde eine Stored Cross-Site Scripting (XSS)-Schwachstelle in der Flowise Chat Embed JavaScript-Bibliothek vor Version 2.0.0 entdeckt. Angesichts dieser wiederholten Sicherheitsprobleme ist es für Unternehmen, die Flowise nutzen, von entscheidender Bedeutung, stets die neuesten Versionen der Software zu verwenden und Sicherheitsbest Practices zu implementieren.
