### Exploração Ativa da CVE-2025-59528 Hackers estão explorando ativamente a **CVE-2025-59528**, uma vulnerabilidade crítica que afeta o **Flowise**, uma plataforma open-source usada para construir aplicações customizadas de Large Language Model (LLM) e sistemas agentic. Esta vulnerabilidade permite a execução de código arbitrário. A vulnerabilidade, divulgada publicamente em setembro passado, decorre da falta de verificações de segurança ao injetar código JavaScript. A exploração bem-sucedida concede aos atacantes a capacidade de executar comandos e acessar o sistema de arquivos. ### Detalhes da Vulnerabilidade O problema reside no nó CustomMCP do **Flowise**, que permite configurações para conectar a um servidor externo Model Context Protocol (MCP). A plataforma avalia de forma insegura a entrada `mcpServerConfig` do usuário, levando à execução de JavaScript sem validação adequada. A vulnerabilidade possui uma pontuação CVSS de 10, indicando gravidade máxima. ### Correção Os desenvolvedores corrigiram o problema na versão 3.0.6 do **Flowise**. A versão mais recente é atualmente a 3.1.1, lançada há duas semanas. Os usuários são fortemente aconselhados a atualizar para a versão 3.1.1 ou pelo menos para a 3.0.6 o mais rápido possível. Considere remover instâncias do **Flowise** da internet pública se o acesso externo não for necessário. ### Descoberta pela VulnCheck **Caitlin Condon**, pesquisadora de segurança na **VulnCheck**, relatou a detecção da exploração da **CVE-2025-59528** através de sua rede Canary. > "No início desta manhã, a rede Canary da VulnCheck começou a detectar a primeira exploração da CVE-2025-59528, uma vulnerabilidade de injeção de código JavaScript arbitrário com CVSS-10 no Flowise, uma plataforma de desenvolvimento de IA open-source", [alertou Condon](https://www.linkedin.com/feed/update/urn:li:activity:7446686314562850817/). Embora a atividade pareça limitada e se origine de um único endereço IP **Starlink**, pesquisadores estimam que entre 12.000 e 15.000 instâncias do **Flowise** estejam expostas online. ### Vulnerabilidades Adicionais **Condon** também observou que a atividade relacionada à **CVE-2025-59528** ocorre juntamente com a exploração das **CVE-2025-8943** e **CVE-2025-26319**, que também afetam o **Flowise**. Atualmente, a **VulnCheck** fornece amostras de exploit, assinaturas de rede e regras YARA apenas para seus clientes.