KI und LLM: Kritische Sicherheitslücken gefährden Low-Coding-Plattform Flowise
Angreifer können Flowise-Server kompromittieren, Sicherheitsforscher berichten bereits von Attacken. Ein Update ist verfügbar.
(Bild: VideoFlow/Shutterstock.com)
Die Low-Coding-Plattform Flowise zum Erstellen von AI-Agents und LLMs ist verwundbar. In der aktuellen Version haben die Entwickler eine Schwachstelle geschlossen.
Angriffe vereiteln
Setzen Angreifer erfolgreich an der "kritischen" Lücke (CVE-2025-26319) an, können sie einem Bericht der Entdecker der Schwachstelle zufolge Fehler im Whitelist-Ansatz der Uploadfunktion ausnutzen, um Dateien auf Flowise-Servern zu überschreiben. So können sie unter anderem eigenen Code ausführen und die volle Kontrolle über Server erlangen.
Die Sicherheitsforscher geben an, die Lücke im Januar dieses Jahres an die Entwickler gemeldet zu haben. Mittlerweile soll es erste Attacken geben. Wie und in welchem Umfang diese ablaufen, ist derzeit unklar.
Videos by heise
Im Changelog der aktuellen Flowise-Ausgabe 2.2.7-patch.1 geben die Entwickler an, die Schwachstelle geschlossen zu haben.
(des)
