### Exploitation active de CVE-2025-59528 Des pirates exploitent activement **CVE-2025-59528**, une vulnérabilité critique affectant **Flowise**, une plateforme open-source utilisée pour construire des applications personnalisées de Large Language Model (LLM) et des systèmes agentiques. Cette vulnérabilité permet l'exécution de code arbitraire. La vulnérabilité, divulguée publiquement en septembre dernier, découle d'un manque de vérifications de sécurité lors de l'injection de code JavaScript. Une exploitation réussie accorde aux attaquants la capacité d'exécuter des commandes et d'accéder au système de fichiers. ### Détails de la vulnérabilité Le problème se situe dans le nœud CustomMCP de **Flowise**, qui permet aux paramètres de configuration de se connecter à un serveur externe Model Context Protocol (MCP). La plateforme évalue de manière non sécurisée l'entrée `mcpServerConfig` de l'utilisateur, conduisant à l'exécution de JavaScript sans validation appropriée. La vulnérabilité a un score CVSS de 10, indiquant une sévérité maximale. ### Remédiation Les développeurs ont corrigé le problème dans la version 3.0.6 de **Flowise**. La dernière version est actuellement la 3.1.1, publiée il y a deux semaines. Il est fortement conseillé aux utilisateurs de mettre à niveau vers la version 3.1.1 ou au moins la 3.0.6 dès que possible. Envisagez de supprimer les instances de **Flowise** de l'internet public si l'accès externe n'est pas requis. ### Découverte par VulnCheck **Caitlin Condon**, chercheuse en sécurité chez **VulnCheck**, a signalé la détection de l'exploitation de **CVE-2025-59528** via leur réseau Canary. > "Tôt ce matin, le réseau Canary de VulnCheck a commencé à détecter pour la première fois l'exploitation de CVE-2025-59528, une vulnérabilité d'injection de code JavaScript arbitraire avec un CVSS de 10 dans Flowise, une plateforme de développement IA open-source," a averti [Condon](https://www.linkedin.com/feed/update/urn:li:activity:7446686314562850817/). Bien que l'activité semble limitée et provienne d'une seule adresse IP **Starlink**, les chercheurs estiment qu'entre 12 000 et 15 000 instances de **Flowise** sont exposées en ligne. ### Vulnérabilités supplémentaires **Condon** a également noté que l'activité liée à **CVE-2025-59528** se déroule parallèlement à l'exploitation de **CVE-2025-8943** et **CVE-2025-26319**, qui affectent également **Flowise**. Actuellement, **VulnCheck** fournit des exemples d'exploit, des signatures réseau et des règles YARA uniquement à ses clients.