Obsidian Security heeft technische details en proof-of-concept (PoC) code vrijgegeven voor een remote code execution (RCE) kwetsbaarheid in Flowise. Deze kwetsbaarheid, geregistreerd als CVE-2026-40933 met een CVSS-score van 9.9, werd in april bekendgemaakt samen met meerdere andere beveiligingsproblemen die AI-ecosystemen treffen die gebruikmaken van het MCP-protocol van Anthropic. Flowise is een populair open source platform met een drag-and-drop interface voor het bouwen van LLM-flows en AI-agents, en heeft meer dan 52.000 sterren op GitHub. Het platform werd als een van de getroffen producten geïdentificeerd.

Volgens Obsidian is de oorzaak van het probleem een systemische command injection kwetsbaarheid die inherent is aan het ontwerp van Anthropic MCP en zich door het ecosysteem verspreidt. Een NIST advisory beschrijft CVE-2026-40933 als een onveilige serialisatie van stdio-commando's in de MCP-adapter, waardoor een aanvaller een MCP stdio-server met een willekeurig commando kan toevoegen en zo code-uitvoering kan bereiken.

De kwetsbaarheid bestaat omdat Flowise-versies vóór 3.1.0 elke gebruiker toestonden om een nieuwe MCP toe te voegen met een willekeurig commando, wat code-uitvoering op het onderliggende besturingssysteem mogelijk maakt. Obsidian legt uit dat aanvallers deze bug kunnen misbruiken om servers over te nemen door een gebruiker te verleiden een speciaal vervaardigde chatflow te importeren. Deze import triggert de uitvoering van willekeurige code op de server.

Elke gebruiker die chatflows kan creëren of bewerken, kan een Custom MCP Tool toevoegen met een kwaadaardige stdio MCP-configuratie. In de praktijk vereist dit een kwaadaardige insider of een gecompromitteerd gebruikersaccount. Een externe aanvaller kan een kwaadaardig commando in een Custom MCP Tool configuratie opnemen, de chatflow exporteren als JSON en deze delen met het slachtoffer. De payload maakt gebruik van legitieme functionaliteit van Flowise om het kwaadaardige commando tijdens het importproces uit te voeren.

Flowise’s Custom MCP node bevat een dropdown-menu 'Available Actions' dat de tools toont die door de geconfigureerde MCP-server worden aangeboden. Om dit menu te vullen, vraagt de canvas de backend om de tools van de server te enumereren. Bij stdio-transport start deze enumeratie het geconfigureerde commando. Omdat het dropdown-menu wordt geladen zodra de geïmporteerde chatflow op de canvas wordt weergegeven, kan alleen het importeren al het commando starten, aldus Obsidian.

De cybersecurityfirma heeft PoC-code gepubliceerd die bij import een shell terugmaakt naar het Docker bridge-adres van de host. Succesvolle exploitatie van CVE-2026-40933 leidt tot besturingssysteemniveau-uitvoering met de privileges van het Flowise-proces, vaak root in containeromgevingen. Alle in het platform opgeslagen credentials zijn dan leesbaar en elke gekoppelde dienst bereikbaar. Flowise wordt in productie doorgaans verbonden met databases, API’s en cloudaccounts, waardoor de impact zich uitbreidt naar alle gekoppelde systemen.

Flowise Cloud is niet kwetsbaar omdat stdio MCP daar is uitgeschakeld. Zelf-gehoste installaties zijn standaard kwetsbaar.