يحذر الباحثون في مجال الأمن السيبراني من استغلال نشط لثغرة حرجة في تنفيذ الأوامر عن بُعد (RCE)، مُسجلة تحت الرقم CVE-2025-59528، في المنصة مفتوحة المصدر ذات البرمجة المنخفضة "Flowise". تُستخدم هذه المنصة على نطاق واسع لبناء تطبيقات نماذج اللغة الكبيرة (LLM) المخصصة وأنظمة الذكاء الاصطناعي الوكلائية. تسمح هذه الثغرة، التي تحمل تقييماً أقصى للخطورة، للمهاجمين غير المُعتمد بحقن وتنفيذ كود جافا سكريبت عشوائي على النسخ الضعيفة دون أي فحوصات أمنية. يؤدي الاستغلال الناجح إلى منح المهاجمين القدرة على تنفيذ أوامر النظام والوصول المباشر إلى نظام الملفات الأساسي، مما يشكل خطراً جسيماً على سلامة وخصوصية البيانات.
تقع الثغرة الأمنية داخل عقدة "CustomMCP" (بروتوكول سياق النموذج) في Flowise. صُمم هذا المكون للسماح بإعدادات التهيئة للاتصال بخادم MCP خارجي. ينبع الضعف الأمني من التقييم غير الآمن للمدخلات المقدمة من المستخدم في معامل `mcpServerConfig`. خلال هذه العملية، ينفذ العقدة كود جافا سكريبت دون إجراء عمليات تحقق أو تعقيم مسبقة، مما يخلق مساراً مباشراً لحقن الكود. تم الكشف العلني عن المشكلة في سبتمبر من العام الماضي إلى جانب تحذيرات من أنها قد تؤدي إلى اختراق كامل للنظام. قام فريق تطوير Flowise بمعالجة الثغرة في الإصدار 3.0.6، مع الإصدار المصحح الأحدث وهو 3.1.1، الذي تم إصداره منذ أسبوعين تقريباً.
اكتسبت Flowise زخماً كبيراً كواجهة برمجة مرئية تعمل بالسحب والإفلات، مما يمكن المطورين والمستخدمين غير التقنيين على حد سواء من بناء سير عمل مدعومة بالذكاء الاصطناعي وروبوتات الدردشة وأنظمة التشغيل الآلي. تغطي قاعدة مستخدميها مطوري الذكاء الاصطناعي للنمذجة السريعة، والشركات التي تنشر روبوتات دعم العملاء، والمؤسسات التي تستخدم أدوات البرمجة المنخفضة لإدارة المعرفة. يؤكد الاستغلال النشط لهذه الثغرة على ارتفاع مستوى الخطر على نظام بيئي واسع، خاصة حيث تبقى النسخ غير مصححة. يُحث المؤسسات على الترقية فوراً إلى الإصدار 3.0.6 من Flowise أو أحدث لتخفيف هذا التهديد.
يحدث استغلال الثغرة CVE-2025-59528 وسط مشهد مقلق من التهديدات الحرجة الأخرى. شهدت الحملات الأخيرة قيام قراصنة باستغلال ثغرة "React2Shell" في عمليات سرقة بيانات الاعتماد الآلية، بينما استخدم هجوم متطور على سلسلة التوريد (npm) إصلاحاً مزيفاً لخطأ في Microsoft Teams لاختطاف حساب أحد الحافظين. بالإضافة إلى ذلك، تم استغلال ثغرة جديدة في FortiClient EMS من Fortinet، مما دفع لإصدار تصحيح طارئ، كما ارتفعت هجمات التصيد باستخدام رمز الجهاز 37 ضعفاً بسبب انتشار أدوات هجوم جديدة عبر الإنترنت. يؤكد هذا السياق، إلى جانب تقرير مكتب التحقيقات الفيدرالي (FBI) عن خسارة الأمريكيين 21 مليار دولار بسبب الجرائم الإلكترونية العام الماضي، على الحاجة الماسة للإدارة الاستباقية للثغرات الأمنية وتصحيح التطبيقات المعرضة للإنترنت مثل Flowise في الوقت المناسب.
