Se ha emitido una alerta de máxima severidad para las organizaciones que desarrollan o integran agentes de Inteligencia Artificial utilizando Flowise, una popular plataforma de código abierto para la construcción de flujos de trabajo de IA.
Investigadores de seguridad han detectado la explotación activa en la naturaleza (in-the-wild) de la vulnerabilidad CVE-2025-59528, la cual cuenta con una calificación CVSS perfecta de 10.0. Este fallo permite la Ejecución Remota de Código (RCE) y pone en riesgo inminente de compromiso total a más de 12,000 instancias de Flowise expuestas a Internet.
Anatomía del Ataque
La vulnerabilidad radica en una falla crítica de inyección de código dentro de un componente específico utilizado para la integración de modelos, permitiendo a los atacantes eludir los controles de seguridad y ejecutar comandos a nivel de sistema.
La cadena de explotación opera de la siguiente manera:
- Vector de Inyección (El Nodo CustomMCP): El fallo se encuentra en el nodo CustomMCP, el cual permite a los usuarios introducir configuraciones para conectarse a un servidor externo MCP (Model Context Protocol).
- Falta de Validación (Sanitization): El sistema analiza la cadena mcpServerConfig proporcionada por el usuario para construir la configuración del servidor. Sin embargo, durante este proceso, la plataforma ejecuta el código JavaScript insertado sin ningún tipo de validación o sanitización de seguridad.
- Ejecución de Código Remoto (RCE): Debido a que la aplicación de Flowise se ejecuta con privilegios completos de runtime en Node.js, la inyección exitosa otorga al atacante acceso directo a módulos altamente peligrosos del núcleo, tales como child_process (para ejecutar comandos del sistema operativo) y fs (para manipular el sistema de archivos).
- Bajo Nivel de Complejidad: Para llevar a cabo este ataque letal, el actor de amenazas únicamente necesita poseer un token de API válido, lo que facilita enormemente la automatización del ataque a escala masiva.
(Nota: Se ha rastreado la actividad de escaneo y explotación masiva actual hasta una única dirección IP vinculada a la red de Starlink. Cabe destacar que este es el tercer fallo explotado en la naturaleza en Flowise, siguiendo los pasos de CVE-2025-8943 y CVE-2025-26319).
Impacto
El impacto de esta vulnerabilidad es catastrófico para la infraestructura afectada. La capacidad de ejecutar código JavaScript arbitrario a nivel del servidor se traduce en un compromiso total del sistema. Los atacantes pueden:
- Extraer, modificar o eliminar datos de entrenamiento de IA, modelos confidenciales y registros de clientes.
- Exfiltrar credenciales corporativas, claves API de proveedores de LLMs (como OpenAI o Anthropic) y secretos almacenados en el servidor.
- Establecer persistencia instalando puertas traseras (backdoors) o utilizar el servidor de IA como plataforma de lanzamiento (pivot) para infiltrarse más profundamente en la red corporativa de la organización.
- Causar disrupciones masivas en la continuidad del negocio de grandes corporaciones que dependen de esta herramienta.
Recomendaciones y Mitigación Inmediata
Dado que la vulnerabilidad se conoce desde hace meses pero la explotación masiva a más de 12,000 objetivos es inminente y activa, la acción debe ser inmediata:
- Parcheo Crítico Inmediato: Las organizaciones deben actualizar obligatoriamente su paquete npm de Flowise a la versión 3.0.6 o superior.
- Reducción de Superficie de Ataque: Evite a toda costa exponer las instancias de Flowise AI directamente a Internet público. Implemente segmentación de red y obligue a que el acceso administrativo y operativo se realice exclusivamente a través de VPN corporativas o arquitecturas Zero Trust Network Access (ZTNA).
- Auditoría y Rotación de API Keys: Debido a que el ataque requiere un token de API, las organizaciones deben realizar una auditoría exhaustiva y revocar/rotar todos los tokens de API de Flowise existentes y cualquier credencial de proveedores en la nube o LLMs que estuviera almacenada en el entorno afectado.
- Monitoreo Forense: Revisar los registros del sistema operativo y de la aplicación en busca de procesos secundarios anómalos (child_process) originados desde el entorno de ejecución de Node.js, así como tráfico de salida inesperado o creación de archivos sospechosos en el sistema.
