// 2 CRITICAL · 5 CVE · 4 EXPLOIT NELLE ULTIME 24H
Metasploit ha integrato moduli per CVE-2026-41264 su FlowiseAI e CVE-2024-27822 su macOS. L'RCE non autenticata nel CSV Agent espone server AI a esecuzione remota.

Il 2026-07-11 Metasploit ha integrato nel proprio framework due moduli exploit concreti e verificati: uno per CVE-2026-41264, vulnerabilità di RCE non autenticata in FlowiseAI, e uno per CVE-2024-27822, privilege escalation locale su macOS tramite PackageKit. Entrambi abbassano la soglia di accesso per attaccanti con risorse limitate: il primo espone direttamente l'infrastruttura server delle applicazioni AI, il secondo consente a un utente locale di ottenere root su workstation Apple non aggiornate.

Punti chiave
  • CVE-2026-41264 è RCE non autenticata nel metodo run della classe CSV_Agents di FlowiseAI, causata da mancanza di sandboxing nell'esecuzione di codice Python generato da LLM.
  • Le versioni affette di FlowiseAI sono dalla 1.3.0 alla 3.0.13; il modulo ha ottenuto sessione Meterpreter verificata su Flowise 3.0.13 in container Docker.
  • CVE-2024-27822 sfrutta l'ereditarietà dell'ambiente ZSH in PackageKit: un PKG con shebang ZSH esegue ~/.zshenv dell'utente con privilegi root.
  • Le versioni macOS vulnerabili sono la 14.4, 13.6.6, 12.7.4 e la 11 con precedenti; il fix è disponibile nelle release 14.5, 13.6.7 e 12.7.5.

Come funziona l'exploit su FlowiseAI: la fiducia cieca nel codice LLM

Il modulo per CVE-2026-41264, rilasciato tramite PR #21407, punta il CSV Agent di FlowiseAI, una funzionalità che genera automaticamente codice Python per analizzare file CSV. Secondo la descrizione nel codice sorgente del modulo, "the specific flaw exists within the run method of the CSV_Agents class. The issue results from the lack of proper sandboxing when evaluating an LLM generated python script".

Il meccanismo è lineare: l'attaccante carica un file CSV contenente un prompt injection che induce il modello a generare payload Python arbitrario. Il server esegue quel codice senza isolamento, nel contesto dell'utente che esegue Flowise. Il blog di Rapid7 precisa che "the CSV Agent feature evaluates LLM-generated Python code without proper sandboxing, allowing a prompt injection to achieve arbitrary code execution as the user running the server".

Un aspetto tecnicamente rilevante riguarda i requisiti di accesso. Il modulo richiede una API key con permesso chatflows:create, ma — come documentato da Rapid7 — "does not require Flowise authentication to trigger the underlying flaw". Questa distinzione è operativamente significativa: la barriera non è l'autenticazione al sistema, ma il possesso di una chiave API con privilegi specifici, che può essere esposta, rubata o in alcuni casi predefinita in configurazioni di test.

L'evidence tecnica include un output di sessione Meterpreter verificato: [*] Meterpreter session 1 opened (192.168.56.1:4444 -> 192.168.56.17:33468) at 2026-05-05 14:09:24 +0900. Il test è stato condotto su Flowise 3.0.13 in container Docker. Il codice del modulo implementa un controllo di versione che segnala Appears per tutte le release dalla 1.3.0 (quando il CSV Agent è stato introdotto) fino alla 3.0.13.

La privilege escalation macOS: quando ZSH eredita troppo

Il secondo modulo, per CVE-2024-27822, sfrutta un comportamento di PackageKit.framework su macOS. Quando un installer PKG contiene uno script con shebang ZSH, PackageKit lo esegue come root ereditando l'ambiente dell'utente che sta installando. Questo causa il caricamento di ~/.zshenv dell'utente con privilegi elevati.

La PR #21499 descrive il meccanismo in modo esplicito: "PKG installer scripts using a ZSH shebang are executed as root while inheriting the installing user's environment. This causes ZSH to load the user's ~/.zshenv with root privileges". Un utente locale con controllo su quel file può inserire comandi arbitrari che verranno eseguiti nel contesto root durante l'installazione di un pacchetto apparentemente legittimo.

Il modulo è stato testato con successo su macOS 11.7.11, con conferma esplicita: [+] The target appears to be vulnerable. macOS 11.7.11 (11 and older) is vulnerable, seguito da ottenimento di shell di root. Le versioni confermate vulnerabili sono macOS 14.4, 13.6.6, 12.7.4, e la 11 con precedenti. Apple ha distribuito il fix nelle release 14.5, 13.6.7 e 12.7.5.

Il vettore richiede interazione utente: l'utente deve approvare l'installazione del PKG e autenticarsi. Questo non attenua il rischio in ambienti enterprise dove utenti con privilegi limitati installano regolarmente software, o dove tecniche di ingegneria sociale inducono all'esecuzione di pacchetti malevoli.

"Authentication is not required to exploit this vulnerability. The specific flaw exists within the run method of the CSV_Agents class. The issue results from the lack of proper sandboxing when evaluating an LLM generated python script."
— Takahiro-Yoko, PR #21407, modulo Metasploit per CVE-2026-41264

Perché la superficie di attacco AI è diventata operativa

Il caso FlowiseAI non è una vulnerabilità di LLM in astratto: è una falla di esecuzione remota causata da una feature di convenienza — l'analisi automatica CSV — implementata senza isolamento del codice generato. Questo pattern si ripete in molti framework di orchestrazione AI, dove la velocità di prototipazione prevale sui controlli di sicurezza.

La disponibilità del modulo Metasploit trasforma una vulnerabilità teorica in un'arma riproducibile e automatizzabile. Gli operatori di minaccia non devono più sviluppare exploit custom: selezionano il modulo, forniscono l'API key e ottengono sessione. Per i difensori, questo significa che la detection deve coprire non solo l'accesso anomalo a Flowise, ma l'esecuzione di processi Python figli del server con pattern comportamentali sospetti.

Cosa fare adesso

  • Verificare la versione di FlowiseAI: le release dalla 1.3.0 alla 3.0.13 sono vulnerabili; aggiornare oltre la 3.0.13 se disponibile, o disabilitare il CSV Agent in ambienti esposti.
  • Controllare le API key con permesso chatflows:create: limitarne la distribuzione, monitorarne l'uso e revocare quelle non necessarie o sospette.
  • Aggiornare macOS alle versioni 14.5, 13.6.7 o 12.7.5 secondo il branch in uso; le release precedenti rimangono esposte a CVE-2024-27822.
  • Monitorare l'esecuzione di installer PKG con shebang ZSH in ambienti enterprise, considerando il profilo di rischio su workstation con utenti locali non amministrativi.

La lettura: quando il tooling AI diventa vettore diretto

La convergenza tra framework AI e framework di attacco segna un punto di svolta. Non si tratta più di ipotizzare scenari di prompt injection in laboratorio: si tratta di moduli pronti all'uso che sfruttano la fiducia implicita nel codice generato automaticamente. FlowiseAI è uno dei tanti strumenti che abilitano la costruzione rapida di applicazioni AI; la sua esposizione riflette una tensione strutturale del settore, dove la compressione dei tempi di sviluppo produce superfici di attacco inedite.

Per la redazione, il dato più significativo è la data del PoC: maggio 2026 per Flowise, con integrazione Metasploit a luglio. L'arco di due mesi tra proof of concept e disponibilità nel framework principale indica una standardizzazione crescente delle catene di exploit per infrastrutture AI. I difensori devono adattare i playbook di incident response a un perimetro che ora include esplicitamente il server che esegue il codice del modello.

Domande frequenti

CVE-2026-41264 richiede autenticazione a Flowise?
No. Il modulo richiede una API key con permesso chatflows:create, ma non richiede autenticazione Flowise per attivare la vulnerabilità sottostante, secondo il blog di Rapid7 e il codice del modulo.
Perché il modulo macOS richiede interazione utente?
Perché l'installazione di un PKG su macOS richiede l'approvazione dell'utente e l'autenticazione. L'exploit si attiva nel momento in cui l'utente legittimo completa questi passaggi.
Esiste un punteggio CVSS ufficiale per queste vulnerabilità?
Le fonti primarie non riportano punteggi CVSS ufficiali per CVE-2026-41264 o CVE-2024-27822. Il dossier non documenta assegnazioni dal National Vulnerability Database.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. rapid7.com
  2. github.com