Критическая RCE-уязвимость в Flowise позволяет удаленно выполнять команды хакеров

Как отметил Иван Рябов, ведущий инженер компании «Газинформсервис», она позволяет злоумышленнику записать произвольный файл по любому пути в файловой системе, что в конечном итоге может привести к удалённому выполнению команд (RCE).

«Причиной уязвимости стал инструмент WriteFileTool, который предоставляется языковым моделям для записи данных. Проблема заключалась в том, что этот инструмент без какой-либо проверки доверял пользовательскому вводу в параметре, определяющем путь для записи файла. Фактически злоумышленник может эксплуатировать данное поведение по-разному; одной из возможных точек входа и удалённого выполнения кода могла стать загрузка Web shell, которая часто используется для кибератак», — объяснил эксперт.

Иван Рябов также подчеркнул, что, учитывая статус Flowise как популярного Open-Source-решения, под угрозой могут оказаться многие компании. Хотя открытый исходный код способствует быстрому обнаружению уязвимостей сообществом, его широкое распространение увеличивает потенциальную базу для атак.

В свете подобных угроз компаниям и разработчикам для более глубокой оценки защищённости и выявления потенциальных 0-day-уязвимостей, подобных найденной в Flowise, эксперт порекомендовал проверять устойчивость инфраструктуры при помощи пентеста. Услуги по тестированию на проникновение позволяют не только выявить теоретически возможные уязвимости, но и проверить, насколько они реально эксплуатируемы в конкретной инфраструктуре, имитируя действия злоумышленника. Это обеспечивает наиболее точную и прикладную оценку рисков для инфраструктуры и приложений.