CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-30821

Critical
Published: Translated: NVD NIST

Summary

Flowise to interfejs typu drag & drop do budowy dostosowanego przepływu dużego modelu językowego. W wersjach przed 3.0.13, punkt końcowy /api/v1/attachments/:chatflowId/:chatId jest wymieniony w WHITELIST_URLS, co umożliwia nieautoryzowany dostęp do API przesyłania plików, pozwalając atakującym na przesyłanie złośliwych skryptów lub dowolnych plików.

Risk Assessment

Ta podatność stanowi krytyczny punkt wejścia, który w połączeniu z innymi funkcjami, takimi jak statyczne hostowanie lub pobieranie plików, może prowadzić do ataków typu Stored XSS oraz umożliwić przechowywanie złośliwych plików.

Recommendation

Zaleca się aktualizację do wersji 3.0.13 lub nowszej, aby zablokować nieautoryzowany dostęp do API przesyłania plików oraz wdrożenie dodatkowych mechanizmów weryfikacji przesyłanych plików.

Original NVD description (English source)

Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.0.13, the /api/v1/attachments/:chatflowId/:chatId endpoint is listed in WHITELIST_URLS, allowing unauthenticated access to the file upload API. While the server validates uploads based on the MIME types defined in chatbotConfig.fullFileUpload.allowedUploadFileTypes, it implicitly trusts the client-provided Content-Type header (file.mimetype) without verifying the file's actual content (magic bytes) or extension (file.originalname). Consequently, an attacker can bypass this restriction by spoofing the Content-Type as a permitted type (e.g., application/pdf) while uploading malicious scripts or arbitrary files. Once uploaded via addArrayFilesToStorage, these files persist in backend storage (S3, GCS, or local disk). This vulnerability serves as a critical entry point that, when chained with other features like static hosting or file retrieval, can lead to Stored XSS, malicious file

Vulnerability data from NVD (NIST) · CISA KEV · EPSS