Šta se desilo?

Otkrivena je kritična ranjivost u platformi Flowise koja omogućava napadačima da napišu proizvoljne datoteke na server bez potrebe za autentifikacijom. Napadač može iskoristiti nedovoljno zaštićene parametre u API endpointu /api/v1/document-store/loader/process kako bi prepisao važne datoteke i dobio potpunu kontrolu nad aplikacijom.

Koga pogađa?

Napadima su izloženi svi korisnici i organizacije koje koriste platformu Flowise, posebno one koje su implementirale ovu aplikaciju u proizvodnom okruženju bez dodatnih sigurnosnih slojeva. Rizik je još veći za javno dostupne instance jer napadač ne mora biti autentifikovan da izvrši napad.

Kako se zaštititi?

  • Hitno ažurirajte Flowise na najnoviju verziju koja sadrži zakrpu za ovu ranjivost
  • Ograničite pristup /api/v1/document-store/ endpointu samo autentifikovanim korisnicima
  • Implementirajte Web Application Firewall (WAF) koji će blokirati zahteve sa ../ sekventama u fileName parametru
  • Redovno proverite i nadgledajte datoteke u direktorijumima gde aplikacija ima dozvolu pisanja
  • Održavajte aplikaciju u okruženju sa minimalnim dozvolama za pisanje
  • Aktivirajte detaljno logovanje svih zahteva ka API endpointima

Tehnički detalji

CVE-2025-71338 je ranjivost tipa path traversal koja koristi nedovoljnu validaciju filename parametara. Napadač može koristiti ../ sekvence za navigaciju kroz direktorijumsku strukturu i prepisati kritične datoteke kao što je package.json. Čak i ako datoteka bude prepisana, do izvršavanja proizvoljnog koda dolazi tek nakon restarta aplikacije, što daje vremenske prozor za detekciju. CVSS skor od 10.0 ukazuje na maksimalan rizik.

Preporuka Sajber Radara

Ako ste korisnik Flowise-a, odmah primenite dostupnu zakrpu i redovno pratite bezbednosne savete proizvođača. Kompanije koje koriste ovu platformu trebaju da primeniti zakrpu bez odlaganja jer je ranjivost trivijalna za iskorišćavanje i ne zahteva naprednija znanja za eksploataciju.