Obsidian Security 發布了針對 Flowise 中遠端程式碼執行 (RCE) 漏洞的技術資訊和概念驗證 (PoC) 程式碼。該問題被追蹤為CVE-2026-40933（CVSS 評分為 9.9），於 4 月與其他幾個影響依賴 Anthropic MCP 協議的 AI 生態系統的安全缺陷一起被披露。

Flowise 是一個受歡迎的開源平台，它為開發者提供了一個拖放式介面來建立 LLM 流程和 AI 代理，在 GitHub 上擁有超過 52,000 個星標，被標記為受影響的產品之一。

據 OX Security 稱，該問題的根本原因是Anthropic MCP 中 「有意設計」的系統性命令注入漏洞，該漏洞會在整個生態系統中傳播。

NIST 的一份公告將 CVE-2026-40933 描述為 MCP 適配器中 stdio 命令的不安全序列化，允許攻擊者添加帶有任意命令的 MCP stdio 伺服器並實現代碼執行。

安全漏洞的存在是因為 Flowise 在 3.1.0 版本之前允許任何使用者新增新的 MCP，並且在新增時可以新增任何命令，從而在底層作業系統上執行程式碼。

據Obsidian 公司稱，遠端攻擊者可以在自訂 MCP 工具配置中植入惡意命令，將聊天記錄匯出為 JSON 格式，並與受害者共用，此惡意程式碼利用 Flowise 的合法功能，在導入過程中執行惡意指令。

Flowise 的自訂 MCP 節點有一個『可用操作』下拉選單，其中列出了已配置 MCP 伺服器公開的工具。為了填充該下拉選單，畫布會要求後端列舉伺服器的工具。使用標準 I/O 傳輸時，枚舉會啟動已配置的命令。由於下拉式選單會在匯入的聊天流程中導入到畫布本身，因此僅觸發操作

這家網路安全公司發布了 PoC 程式碼，匯入該程式碼後，會建立一個返回主機 Docker 橋接位址的 shell。Obsidian 表示，成功利用 CVE-2026-40933 漏洞會導致「攻擊者以 Flowise 程序的權限執行作業系統層級的攻擊，在容器化部署中通常能獲得 root 權限。平台中儲存的每個憑證都可被讀取。每個連接的服務都可存取。生產環境中的 Flowise 通常與資料庫、API 和雲端連線而增加；這家網路安全公司指出，Flowise Cloud 不受影響，因為它禁用了標準輸入輸出管理控制 (stdio MCP)。自託管執行個體預設情況下存在漏洞。

資料來源：https://www.securityweek.com/exploit-code-published-for-critical-flowise-rce-vulnerability/