CVE-2025-59528 (CVSS 10.0) permet une RCE sur Flowise AI. Plus de 12 000 serveurs exposés sont activement ciblés. Mise à jour vers 3.0.6 urgente.
En bref
- CVE-2025-59528 (CVSS 10.0) permet une exécution de code à distance sur Flowise, une plateforme open source de création du0027agents IA
- Plus de 12 000 instances Flowise exposées sur Internet sont ciblées — un attaquant unique exploite déjà la faille depuis une IP Starlink
- Le correctif existe depuis la version 3.0.6 mais reste largement non appliqué
Les faits
Des chercheurs en sécurité ont confirmé lu0027exploitation active de CVE-2025-59528, une vulnérabilité de score CVSS maximal (10.0) affectant FlowiseAI Flowise dans les versions 2.2.7-patch.1 à 3.0.5. La faille réside dans le nœud CustomMCP, qui permet aux utilisateurs de configurer des connexions vers des serveurs MCP (Model Context Protocol) externes. Le code JavaScript saisi dans cette configuration est exécuté sans aucune validation de sécurité, avec les privilèges complets du runtime Node.js — donnant accès aux modules child_process (exécution de commandes) et fs (système de fichiers).
Lu0027exploitation observée provient du0027une adresse IP unique sur le réseau Starlink, selon The Hacker News. Lu0027attaquant cible systématiquement les instances Flowise exposées sur Internet pour prendre le contrôle total des serveurs et exfiltrer des données du0027entreprise sensibles — credentials du0027API, clés de modèles IA, données de prompts et bases vectorielles. Malgré la disponibilité du0027un correctif depuis plusieurs mois, plus de 12 000 instances restent vulnérables selon les scans de SonicWall.
Impact et exposition
Flowise est utilisé par des entreprises pour construire des pipelines du0027IA conversationnelle, des agents RAG et des workflows du0027automatisation. Les instances compromises exposent non seulement lu0027infrastructure serveur, mais aussi lu0027ensemble des données transitant par la plateforme : clés du0027API OpenAI, Anthropic ou Azure, bases de connaissances vectorielles, historiques de conversations, et credentials de bases de données. La combinaison du0027un CVSS 10.0, du0027une exploitation triviale et de la présence de données hautement sensibles fait de cette vulnérabilité une menace de premier ordre pour les organisations déployant des solutions RAG et des bases vectorielles en production.
Recommandations
- Mettre à jour Flowise vers la version 3.0.6 ou supérieure immédiatement — la complexité du0027exploitation est triviale
- Auditer les instances Flowise exposées sur Internet : aucune instance ne devrait être accessible sans authentification et sans VPN
- Révoquer et régénérer toutes les clés du0027API et credentials stockés dans les instances potentiellement compromises
- Vérifier les journaux du0027accès pour détecter les requêtes suspectes vers les endpoints CustomMCP
Alerte critique
Si vous utilisez Flowise en version inférieure à 3.0.6 et que votre instance est accessible depuis Internet, considérez-la comme potentiellement compromise. Isolez le serveur, analysez les logs et changez tous les secrets immédiatement.
Comment savoir si mon instance Flowise est vulnérable à CVE-2025-59528 ?
Vérifiez la version de Flowise dans le fichier package.json ou via lu0027interface du0027administration. Les versions 2.2.7-patch.1 à 3.0.5 sont vulnérables. Si votre instance est accessible depuis Internet (vérifiable via un scan de port sur le port par défaut 3000), le risque est maximal. Utilisez un scanner de vulnérabilités comme Nuclei qui intègre déjà un template pour cette CVE.
Quelles données un attaquant peut-il voler via cette faille ?
Lu0027exploitation donne un accès complet au serveur avec les privilèges du processus Node.js. Un attaquant peut lire les fichiers de configuration contenant les clés du0027API (OpenAI, Anthropic, Azure), accéder aux bases vectorielles connectées, exfiltrer les historiques de conversations et les documents indexés, et utiliser le serveur comme point de pivot pour attaquer le réseau interne.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant quu0027elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
FBI : des hackers chinois piratent le système de surveillance
Le FBI confirme une compromission majeure de son système de surveillance par Salt Typhoon, un groupe APT chinois. Les métadonnées du0027écoutes exposées.
Chrome Zero-Day CVE-2026-5281 : faille WebGPU exploitée
Google corrige CVE-2026-5281, une faille zero-day WebGPU dans Chrome activement exploitée. Mise à jour critique requise pour tous les navigateurs Chromium.
Microsoft lance trois modèles IA maison pour concurrencer OpenAI
Microsoft dévoile trois modèles IA maison — MAI-Transcribe-1, MAI-Voice-1 et MAI-Image-2 — réduisant sa dépendance envers OpenAI.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire