Metasploit Güncellemesi: FlowiseAI CSV Aracısı ve MacOS Paket Kit'i için Exploit'ler

Son günlerde yapay zeka yazılımlarının artmasıyla birlikte yeni açıklar da ortaya çıkıyor. Metasploit ekibi, bu yeni yazılımların getirdiği artan saldırı yüzeyini değerlendiriyor. Örneğin, Takahiro Yokoyama ve zdi-disclosures tarafından keşfedilen Flowise CSV Aracısı Prompt Enjeksiyon RCE zafiyeti, FlowiseAI'nin CSV_Agents sınıfındaki uzaktan kod çalıştırma yönteminde meydana geliyor. Bu zafiyet, yetersiz kumanda ve eksik girdi listeleri nedeniyle oluşuyor. Saldırganlar, arbitrary python kodu içeren bir.csv dosyasını yükleyerek çalıştırabiliyorlar.
FlowiseAI sürüm 1.3.0 ile 3.0.13 arasındaki sürümler bu zafiyetten etkileniyor. Zafiyet, CVE-2026-41264 kodu ile tanımlanıyor. FlowiseAI kullananlar, özellikle de API anahtarı ile chatflows:create izni olan kullanıcılar risk altında bulunuyor. Bu zafiyet, uzaktan kod çalıştırma imkanını sağlıyor ve ciddi bir tehdit oluşturuyor.
Metasploit ekibi, bu zafiyet için bir exploit modülü ekledi. Kullanıcılar, bu güncellemeyi yaparak themselvesi korumaya alabilirler. Ayrıca, MacOS Paket Kit'i için de yeni exploit'ler eklenmiştir.
