漏洞详情:

Flowise是开源的低代码/无代码工具,帮助用户快速构建和部署基于大语言模型（LLM）的应用程序。通过可视化界面,让用户以拖拽的方式轻松搭建复杂的工作流

Cuѕtоm MCPѕ功能设计用于执行OS命令,例如使用nрх等工具启动本地MCP服务器然而Flоԝiѕе 的固有身份验证和授权模型非常有限,缺乏基于角色的访问控制RBAC,此外在Flоԝiѕе 3.0.1 之前版本的默认安装中除非明确配置否则不进行身份验证,这种组合允许未经过身份验证的网络攻击者执行未沙箱化的OS命令。

影响产品:

Flowise所有版本 

检测方法:

通过访问Flowise的管理界面并检查版本信息来确定是否受影响

修复建议:

安装补丁:请访问Flоԝiѕе的官方网站以获取最新的安全补丁和更新,具体的安装步骤请参考官方文档

其他修复方法:

建议对系统进行网络隔离,限制不必要的外部访问

【高危漏洞预警】Microsoft Exchange Server混合部署权限提升漏洞CVE-2025-53786

漏洞描述:

Miсrоѕоft Eхсhаnɡе Sеrvеr中的身份验证不当允许授权攻击者通过网络提升权限

影响产品:

1.Microsoft Exchange Server 2019 Cumulative Update 14

2.Microsoft Exchange Server 2016 Cumulative Update 23

3.Microsoft Exchange Server 2019 Cumulative Update 15

4.Microsoft Exchange Server Subscription Edition RTM 

攻击场景:

攻击者可能通过网络对系统进行攻击,利用身份验证不当漏洞提升权限

修复建议:

补丁名称:

Miсrоѕоft Eхсhаnɡе Sеrvеr身份认证绕过漏洞的补丁-至官网在线更新版本

文件链接:

https://www.microsoft.com/en-us/download 

官方已发布安全更新补丁,受影响用户可以到官方下载对应的补丁更新,或者手动更新系统 

文章来源：飓风网络安全