Faille critique dans l'implémentation MCP stdio de Flowise

Une vulnérabilité critique dans l'implémentation MCP stdio de Flowise au score CVSS de 9,9 ouvre la voie à l'exécution de code à distance dans des déploiements hébergés par les entreprises.

Une brèche de sécurité doit mobiliser l’attention des entreprises qui utilisent la plateforme low-code open source Flowise servant à alimenter des workloads IA instanciés par les entreprises. En effet, celle-ci présente un risque d'exécution de code distant (RCE) en un clic dont les détails ont été divulgués par les chercheurs d'Obsidian Security. Cette faille concerne les déploiements Flowise auto-hébergés via son implémentation MCP (model context protocol) stdio. Le problème réside essentiellement dans une défaillance du sandboxing des configurations MCP conduisant à de l'exécution de code côté serveur. « Une RCE post-authentification dans Flowise peut être déclenchée d'un simple clic via l'importation d'un flux de conversation malveillant avant toute sauvegarde ou exécution », ont expliqué les chercheurs dans un billet de blog. « Le correctif officiel repose sur une validation des entrées qui est facilement contournée et ne résout pas la cause profonde du problème », préviennent les chercheurs. Pour rappel la plateforme agentique Flowise a été rachetée par Workday en août 2025.

L'outil est couramment utilisé pour développer des assistants IA internes, des applications de génération augmentée par récupération (RAG), des chatbots destinés aux clients, et des agents autonomes connectés à des systèmes d’entreprise. Cette vulnérabilité n’affecte pas Flowise Cloud, car MCP stdio n’y est pas activé. « Pour le reste, là où cette fonction est activée et absolument nécessaire, il existe un compromis entre sécurité et fonctionnalité que les développeurs doivent comprendre, et examiner activement les configurations des serveurs à la recherche de menaces potentielles », ont ajouté les chercheurs.

Un accès à tous les privilèges Flowise

Cette faille, référencée CVE-2026-40933, affecte l'implémentation par Flowise des serveurs MCP stdio. Le protocole stdio de MCP est conçu pour lancer des processus de serveur locaux et communiquer avec eux via des flux d'entrée et de sortie standard, ce qui permet aux agents IA d'interagir avec des fichiers, des dépôts Git, des bases de données, des navigateurs et des identifiants locaux. Selon Obsidian Security, le problème vient du fait que Flowise permet aux utilisateurs de configurer des serveurs MCP stdio contenant des commandes arbitraires. Comme celles-ci sont finalement exécutées par le système d'exploitation sous-jacent, un attaquant est potentiellement capable d’exécuter du code à distance avec les privilèges du processus Flowise. Les chercheurs ont noté que dans les déploiements en conteneurs, cela peut effectivement fournir un accès de niveau root à l'environnement hébergeant la plateforme. La faille s'est vu attribuer une note CVSS de 9,9, une compromission réussie pouvant potentiellement exposer des clés API, des bases de données, des ressources cloud, des applications SaaS, et d'autres actifs accessibles via Flowise.

La divulgation détaille en outre une série de mesures correctives prises par Flowise pour restreindre la manière dont les commandes MCP stdio peuvent être configurées et exécutées. Cependant, toujours selon Obsidian, chaque itération s'appuie principalement sur des mécanismes de validation et de filtrage des commandes qui peuvent être contournés dans certaines conditions. « Flowise semble avoir pris conscience du risque et a renforcé la sécurité de Custom MCP au fil de plusieurs itérations », ont fait remarquer les chercheurs. « La mise à jour #5232 a introduit CUSTOM_MCP_SECURITY_CHECK, une couche de validation activée par défaut pour les configurations Custom MCP », ont-ils ajouté. « Cependant, même si ces contrôles ont réduit les voies d'exécution de commandes les plus évidentes, ils n'ont guère contribué à atténuer la menace sous-jacente liée au fait de permettre aux utilisateurs de fournir des configurations MCP via stdio », ont-ils fait remarquer.

Une menace pas entièrement éliminée

Le signalement de la faille par Obsidian a déclenché un renforcement supplémentaire de la fonctionnalité avec une validation des indicateurs dans les paquets de mises à jour #5741 et #5943. Mais ces derniers n'ont cependant pas éliminé totalement la menace. Lorsque nous avons demandé à Flowise de traiter MCP stdio comme non sécurisé par défaut et d'exiger une activation explicite, le fournisseur aurait déclaré qu’il souhaitait « limiter ce qui a été identifié comme dangereux sans désactiver complètement les fonctionnalités sur lesquelles les utilisateurs peuvent compter. » Dans un PoC d’exploit partagé par Obsidian, l’entreprise de sécurité montre qu’il est encore possible de contourner les protections actuelles de Flowise pour réussir une exécution de code à distance (RCE). La seule mesure d'atténuation complète recommandée par les chercheurs consiste à désactiver MCP stdio en définissant « CUSTOM_MCP_PROTOCOL=sse ». Pour ceux qui ne peuvent le faire sans entraver les opérations, les chercheurs ont suggéré de verrouiller les paquets de confiance quand c’était possible et de vérifier les flux de conversation importés provenant de sources non fiables.