Flowise CVE-2025-59528: Kritische RCE-Lücke wird aktiv ausgenutzt

Stand: 07. April 2026 - zuletzt aktualisiert

Autor: Mika Schmidt (IT-Security Consultant) – Six Eight Consulting, Fokus: Analyse, IAM, Security Engineering.

Flowise CVE-2025-59528 ist keine abstrakte Warnung mehr: Laut aktuellen Berichten wird die kritische Remote-Code-Execution-Lücke inzwischen aktiv ausgenutzt. Besonders relevant ist das für Unternehmen, die Flowise für AI-Agenten, LLM-Workflows oder MCP-Integrationen selbst betreiben. [News] [NVD]

Eine ausführlichere technische Einordnung gibt es bereits auf AI Agent Security . Dort wird auch eingeordnet, warum der Fall über eine einzelne Produktlücke hinausgeht und für agentische Tool-Umgebungen besonders kritisch ist. [Vertiefung]

Warum ist der Fall so relevant?

Kritisch ist nicht nur der CVSS-Wert von 10.0, sondern der Einsatzkontext. Flowise sitzt in vielen Umgebungen nah an Tools, Tokens, Dateisystempfaden und externen Integrationen. Wenn dort Code-Ausführung möglich wird, endet das Risiko oft nicht bei einem einzelnen Workflow, sondern reicht bis in Secrets, Shell-Zugriffe oder angrenzende Services. [Advisory] [Vertiefung]

Zusätzlichen Druck erzeugt die gemeldete aktive Ausnutzung. Sobald eine bekannte und gepatchte Lücke real im Internet angegriffen wird, verschiebt sich die Priorität von geplanter Wartung zu unmittelbarer Risikoreduktion. [News]

Was jetzt zählt

• Flowise-Version prüfen und auf mindestens 3.0.6 anheben.
• Öffentlich erreichbare Instanzen priorisiert behandeln oder sofort abschirmen.
• Prüfen, ob der CustomMCP-Node wirklich benötigt wird.
• Tokens, Secrets und Dateisystemrechte der betroffenen Umgebung neu bewerten.
• Monitoring auf verdächtige Prozessstarts und ungewöhnliche Dateioperationen verschärfen.

Einordnung für Unternehmen

Der Flowise-Fall ist ein gutes Beispiel dafür, warum Agent-Plattformen wie privilegierte Infrastruktur behandelt werden sollten. Wer AI-Agenten produktiv betreibt, muss nicht nur patchen, sondern auch Laufzeitrechte, Tool-Zugriffe und Netzwerkgrenzen konsequent härten. Genau diese operative Sicht ist der wichtigste Punkt der verlinkten Vertiefung auf AI Agent Security. [Vertiefung]

FAQ

Was ist CVE-2025-59528?

CVE-2025-59528 ist eine kritische Remote-Code-Execution-Schwachstelle in Flowise. Betroffen ist laut Advisory der CustomMCP-Node, in dem benutzerkontrollierte Konfigurationen unsicher verarbeitet werden.

Welche Flowise-Versionen sind betroffen?

Laut NVD betrifft die Schwachstelle Flowise 3.0.5. Als behobene Version wird 3.0.6 genannt. Betreiber sollten zusätzlich verifizieren, dass auch ihre Images, Helm-Charts oder internen Baselines wirklich auf dem gefixten Stand sind.

Warum ist die Lücke für AI-Agent-Umgebungen besonders heikel?

Weil Flowise häufig mit Tool-Zugriffen, Secrets, Dateisystemnähe und externen MCP-Servern betrieben wird. Eine erfolgreiche RCE kann deshalb schnell über den eigentlichen Workflow hinausgehen und weitere Vertrauensgrenzen berühren.

Was sollten Unternehmen jetzt zuerst tun?

Zuerst Version und Exponierung prüfen, dann auf mindestens 3.0.6 aktualisieren, öffentliche Erreichbarkeit reduzieren und Tokens oder Secrets auf potenziell exponierten Instanzen neu bewerten oder rotieren.