Update: Kritische Schwachstellen in Flowise und Flowise Cloud

Die Warnmeldung wurde am 9. April 2026 aufgrund weiterführender Informationen aktualisiert.

Auf der Plattform GitHub veröffentlichten Entwickelnde drei Warnmeldungen zu den folgenden Schwachstellen in der Open-Source-Plattform Flowise und der Cloud-Variante Flowise Cloud:

• CVE-2025-59528 mit dem höchsten CVSS-Score 10/10 ermöglicht Angreifenden Remote Code Execution in Flowise.
• CVE-2025-59527 mit einem CVSS-Score von 7.5/10 ermöglicht Angreifenden Server-Side Request Forgery (SSRF) in Flowise.
• CVE-2025-59434 mit einem CVSS-Score von 9.6/10 ermöglicht Angreifenden, in Flowise Cloud auf sensible Dateien und Informationen zuzugreifen wie Session Keys, Tokens oder Zugangsdaten.

Anfang April 2026 berichteten Medien erstmals über die aktive und erfolgreiche Ausnutzung der Schwachstelle CVE-2025-59528. Zu diesem Zeitpunkt waren immer noch weltweit mehr als 12.000 betroffene Flowise-Instanzen über das Internet erreichbar und dadurch kompromittierbar.

CVE-2025-59528 und CVE-2025-59527 betreffen die Version 3.0.5 von Flowise und wurden mit dem Update 3.0.6 von den Entwickelnden behoben.

CVE-2025-59434 betrifft den Versionsstand der Flowise Cloud vom Juli 2025 und wurde mit dem Versionsstand vom August 2025 behoben.

• Installieren Sie umgehend die Version 3.0.6 oder höher der Flowise-Plattform.
• Wechseln Sie schnellstmöglich auf den Versionsstand vom August 2025 der Flowise Cloud.