La plataforma de desarrollo de aplicaciones de IA de código abierto, Flowise, ha sido objeto de una grave vulnerabilidad de ejecución remota de código (RCE), identificada bajo el código CVE-2025-59528. Investigadores de seguridad han confirmado que este fallo ya está siendo explotado activamente en entornos reales.
Análisis de la vulnerabilidad y sus riesgos
El fallo reside en el nodo 'CustomMCP' de Flowise. Debido a una validación insuficiente al procesar la configuración 'mcpServerConfig' introducida por el usuario, los atacantes pueden inyectar y ejecutar código JavaScript malicioso. La vulnerabilidad, revelada públicamente en septiembre pasado, ostenta una puntuación CVSS de 10 —el nivel máximo de peligrosidad—, lo que significa que un atacante podría ejecutar comandos arbitrarios y acceder directamente al sistema de archivos subyacente.
Caitlin Condon, investigadora de la firma de inteligencia sobre vulnerabilidades VulnCheck, advirtió sobre el hallazgo en LinkedIn. Según explicó, la red de sensores 'Canary' de VulnCheck detectó los primeros intentos de explotación dirigidos a esta vulnerabilidad. Aunque la actividad parece provenir de una única dirección IP de Starlink y su alcance es limitado por ahora, el riesgo sigue siendo considerable.
Flowise es una plataforma de código bajo (low-code) diseñada para crear agentes de IA y flujos de trabajo basados en modelos de lenguaje de gran escala. Gracias a su interfaz de arrastrar y soltar, se utiliza ampliamente para desarrollar prototipos de IA, chatbots y sistemas de automatización. Se estima que hay entre 12,000 y 15,000 instancias de Flowise expuestas en internet; aunque se desconoce cuántas están afectadas, la superficie de ataque potencial es inmensa.
Condon señaló que, además del CVE-2025-59528, Flowise se ha visto afectado anteriormente por vulnerabilidades como CVE-2025-8943 y CVE-2025-26319, las cuales también cuentan con registros de explotación en la red.
El equipo de desarrollo de Flowise ya ha corregido este fallo de seguridad en la versión 3.0.6. La recomendación oficial es que todos los usuarios actualicen sus sistemas a la versión 3.1.1 de inmediato. Para aquellas empresas que no requieran acceso externo, los expertos aconsejan retirar estas instancias de la red pública para eliminar por completo cualquier posible vector de ataque.
