### Explotación Activa de CVE-2025-59528 Hackers están explotando activamente **CVE-2025-59528**, una vulnerabilidad crítica que afecta a **Flowise**, una plataforma de código abierto utilizada para construir aplicaciones personalizadas de Large Language Model (LLM) y sistemas agenticos. Esta vulnerabilidad permite la ejecución de código arbitrario. La vulnerabilidad, divulgada públicamente en septiembre pasado, se deriva de la falta de verificaciones de seguridad al inyectar código JavaScript. La explotación exitosa otorga a los atacantes la capacidad de ejecutar comandos y acceder al sistema de archivos. ### Detalles de la Vulnerabilidad El problema reside dentro del nodo CustomMCP de **Flowise**, que permite que la configuración establezca una conexión con un servidor externo de Model Context Protocol (MCP). La plataforma evalúa de forma insegura la entrada `mcpServerConfig` del usuario, lo que lleva a la ejecución de JavaScript sin la validación adecuada. La vulnerabilidad tiene una puntuación CVSS de 10, lo que indica una severidad máxima. ### Remediación Los desarrolladores abordaron el problema en la versión 3.0.6 de **Flowise**. La última versión es actualmente la 3.1.1, lanzada hace dos semanas. Se recomienda encarecidamente a los usuarios que actualicen a la versión 3.1.1 o al menos a la 3.0.6 lo antes posible. Considere eliminar las instancias de **Flowise** de Internet público si el acceso externo no es necesario. ### Descubrimiento de VulnCheck **Caitlin Condon**, investigadora de seguridad en **VulnCheck**, reportó la detección de la explotación de **CVE-2025-59528** a través de su red Canary. > "Temprano esta mañana, la red Canary de VulnCheck comenzó a detectar la explotación por primera vez de CVE-2025-59528, una vulnerabilidad de inyección de código JavaScript arbitrario con CVSS-10 en Flowise, una plataforma de desarrollo de IA de código abierto", [advirtió Condon](https://www.linkedin.com/feed/update/urn:li:activity:7446686314562850817/). Si bien la actividad parece limitada y se origina en una única dirección IP de **Starlink**, los investigadores estiman que entre 12,000 y 15,000 instancias de **Flowise** están expuestas en línea. ### Vulnerabilidades Adicionales **Condon** también señaló que la actividad relacionada con **CVE-2025-59528** ocurre junto con la explotación de **CVE-2025-8943** y **CVE-2025-26319**, que también afectan a **Flowise**. Actualmente, **VulnCheck** proporciona muestras de exploit, firmas de red y reglas YARA solo a sus clientes.