Plataforma
nodejs
Componente
flowise
Corrigido em
3.0.6
3.0.6
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta no endpoint /api/v1/fetch-links da aplicação Flowise. Essa falha permite que um atacante utilize o servidor Flowise como um proxy para acessar serviços web internos na rede e explorar suas estruturas de link. Versões afetadas são aquelas anteriores ou iguais a 3.0.5. A correção foi disponibilizada na versão 3.0.6.
A vulnerabilidade SSRF em Flowise permite que um atacante explore a rede interna através do servidor Flowise. Ao explorar essa falha, um invasor pode enviar requisições HTTP para qualquer URL que o servidor Flowise possa acessar, potencialmente expondo serviços internos que não deveriam ser acessíveis externamente. Isso inclui a descoberta e acesso a endpoints administrativos sensíveis, coleta de informações sobre a infraestrutura interna e, em alguns casos, a execução de ações em nome do servidor Flowise. A exploração bem-sucedida pode levar à divulgação de dados confidenciais e comprometimento da segurança da rede interna. A capacidade de explorar essa vulnerabilidade depende da configuração da rede e dos serviços internos expostos.
A vulnerabilidade foi divulgada em 2025-09-15. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. Não foram identificados Proof of Concepts (PoCs) públicos. A pontuação CVSS de 7.5 (ALTO) indica um risco significativo, e a natureza da vulnerabilidade SSRF a torna potencialmente explorável em ambientes onde a rede interna não está adequadamente segmentada.
Organizations deploying Flowise in environments with internal web services or APIs are at risk. Shared hosting environments where Flowise instances share the same network infrastructure are particularly vulnerable, as an attacker could potentially pivot from a compromised Flowise instance to other internal services. Legacy Flowise configurations that haven't been regularly updated are also at increased risk.
• nodejs: Monitor process execution for unusual outbound network connections originating from the Flowise process. Use ps aux | grep flowise to identify the process and then netstat -anp | grep <flowise_pid> to check connections.
• generic web: Examine access logs for requests to /api/v1/fetch-links with unusual or internal IP addresses in the URL. Use grep '/api/v1/fetch-links' access.log | grep <internal_ip>.
• generic web: Check response headers for signs of internal resource exposure. Look for headers that reveal internal server information or redirect to internal services.
disclosure
Status do Exploit
EPSS
0.13% (percentil 32%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-59527 é atualizar para a versão 3.0.6 do Flowise, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar regras de firewall para restringir o acesso à rede interna a partir do servidor Flowise. Além disso, configure o servidor Flowise para utilizar uma lista de permissões (whitelist) de domínios permitidos para a função fetch-links, impedindo que ele faça requisições para URLs não autorizadas. Monitore os logs do servidor Flowise em busca de atividades suspeitas, como requisições para URLs internas inesperadas. Após a atualização, confirme a correção verificando se o endpoint /api/v1/fetch-links não permite mais requisições para URLs internas não autorizadas.
Atualize Flowise para a versão 3.0.6 ou superior. Esta versão contém uma correção para a vulnerabilidade SSRF no endpoint /api/v1/fetch-links. A atualização evitará que atacantes utilizem seu servidor como proxy para acessar serviços internos da rede.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-59527 é uma vulnerabilidade de Server-Side Request Forgery (SSRF) na aplicação Flowise, permitindo que atacantes usem o servidor como proxy para acessar recursos internos.
Se você estiver utilizando o Flowise em versões anteriores ou igual a 3.0.5, você está afetado por esta vulnerabilidade.
A correção é atualizar para a versão 3.0.6 do Flowise. Se a atualização não for possível, implemente regras de firewall e listas de permissão para restringir o acesso.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a pontuação CVSS indica um risco significativo.
Consulte o site oficial do Flowise ou o repositório do projeto no GitHub para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.