FlowiseAI/Flowise heeft een Server-Side Request Forgery (SSRF) kwetsbaarheid

De SSRF kwetsbaarheid in Flowise maakt het mogelijk voor een aanvaller om de Flowise server te misbruiken als een proxy. Dit betekent dat de aanvaller, via de Flowise server, verbinding kan maken met interne webdiensten die normaal gesproken niet toegankelijk zijn vanaf het openbare internet. Dit kan leiden tot de onthulling van gevoelige interne administratieve endpoints, het uitlezen van interne data en mogelijk zelfs het uitvoeren van acties op interne systemen. De impact is aanzienlijk omdat een aanvaller de Flowise server kan gebruiken om de interne netwerkomgeving te verkennen en te exploiteren, zonder directe toegang tot die systemen te hoeven verkrijgen. Een succesvolle exploitatie kan leiden tot data-exfiltratie en compromittering van interne systemen.

Organizations deploying Flowise in environments with internal web services or APIs are at risk. Shared hosting environments where Flowise instances share the same network infrastructure are particularly vulnerable, as an attacker could potentially pivot from a compromised Flowise instance to other internal services. Legacy Flowise configurations that haven't been regularly updated are also at increased risk.

• nodejs: Monitor process execution for unusual outbound network connections originating from the Flowise process. Use ps aux | grep flowise to identify the process and then netstat -anp | grep <flowise_pid> to check connections. • generic web: Examine access logs for requests to /api/v1/fetch-links with unusual or internal IP addresses in the URL. Use grep '/api/v1/fetch-links' access.log | grep <internal_ip>. • generic web: Check response headers for signs of internal resource exposure. Look for headers that reveal internal server information or redirect to internal services.

1. 2025-09-15Disclosure

   disclosure

1. Gereserveerd2025-09-17
2. Gepubliceerd2025-09-15
3. Gewijzigd2025-09-22
4. EPSS bijgewerkt2026-03-23

De primaire mitigatie voor CVE-2025-59527 is het updaten van Flowise naar versie 3.0.6 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om externe verzoeken te filteren en te beperken. Configureer de WAF om verzoeken naar interne IP-adressen of domeinen te blokkeren. Controleer de Flowise configuratie om te verzekeren dat de fetch-links functionaliteit niet onnodig wordt gebruikt. Na de upgrade, verifieer de fix door een poging te doen om een verzoek naar een intern adres via de /api/v1/fetch-links endpoint te sturen; dit zou nu moeten worden geblokkeerd.