- FlobiSS arried प्लैटफर्मले त्रुटि
- जंगलीमा शोषण गरिएको CustomMCP नोडमा कमजोरी
- 15,000 सम्म पर्दाफास गरिएका उदाहरणहरू तुरुन्त अद्यावधिक गर्न आग्रह गरियो id=”elk-89c0b648-03f6-49c6-8191-1d03c5b8b6df”>Flowise, एक लोकप्रिय LL को लागि कस्टम प्लेटफार्म र कस्टम एप्लिकेसन निर्माण गर्नुहोस् अधिकतम-गम्भीरता जोखिम बोकेको छ जसले खतरा अभिनेताहरूलाई स्वेच्छाचारी कोड चलाउन अनुमति दिन्छ र यसरी, सम्भावित रूपमा, सम्पूर्ण प्रणालीहरू लिन्छ।
Flowise एउटा कम-कोड प्लेटफर्म हो जसले प्रयोगकर्ताहरूलाई AI कार्यप्रवाहहरू, च्याटबटहरू र LLM-संचालित अनुप्रयोगहरू कोड लेख्नुको सट्टा ड्र्याग र ड्रप गरेर दृश्यात्मक रूपमा निर्माण गर्न अनुमति दिन्छ। यसको GitHub परियोजनामा 40,000 भन्दा बढी ताराहरू छन्, र यसले विकासकर्ताहरू र कम्पनीहरूमा लाखौं च्याटहरू र कार्यप्रवाहहरू पावर गर्न रिपोर्ट गरिएको छ। data-widget-type=”seasonal” class=”hawk-root”/>
सेप्टेम्बर २०२५ मा, संस्करण ३.०.५ मा CustomMCP node रहेको पत्ता लागेको थियो। प्रयोगकर्ताहरूले कन्फिगरेसन डाटा प्रविष्ट गर्दा, सफ्टवेयरले जाँच बिना जाभास्क्रिप्टको रूपमा चलाउनेछ। यसले आक्रमणकारीहरूलाई सर्भरमा कुनै पनि कोड कार्यान्वयन गर्न दिन्छ, फाइलहरू पहुँच गर्ने वा चलिरहेको प्रणाली आदेशहरू सहित। fill=”currentColor” preserveaspectratio=”xMidYMid meet” viewbox=”0 0 1000 1000″>
जंगलीमा भेटिएको id=”elk-5c28a411-fdb4-4a55-ac70-48e3056654bf”>संस्करण 3.0.6 मा जोखिमलाई फिक्स गरिएको थियो र हाल, नवीनतम संस्करण 3.1.1 हो – यद्यपि, आधा वर्ष भन्दा बढी पछि, सुरक्षा अनुसन्धानकर्ताहरूले खतरा अभिनेताहरूले यसलाई दुरुपयोग गरेको भेट्टाए। खुफिया फर्म VulnCheck, कम्पनीको क्यानरी नेटवर्कमा बगको शोषण देखियो भनेर रिपोर्ट गर्यो।
“आज बिहानै, VulnCheckको क्यानरी नेटवर्कले CVE-2025-59528 को पहिलो पटक शोषण पत्ता लगाउन थाल्यो, CVSS-10 स्वेच्छाचारी JavaScript कोड इन्जेक्सन भेद्यता, FAILODON मा विकास प्लेटफर्म खोल्नुहोस्। चेतावनी दिनुभयो।
उनले भनिन् कि आक्रमण एउटै Starlink IP मा सीमित थियो, तर चेतावनी दिए कि यो चाँडै विस्तार हुन सक्छ, किनकि त्यहाँ 15,000 Flowise उदाहरणहरू व्यापक इन्टरनेटमा खुला छन्। तिनीहरूमध्ये कम्तीमा पनि केही नवीनतम संस्करणहरूमा अद्यावधिक नभएका र, जस्तै, कमजोर छन्।