CVE-2026-30824
CriticalSummary
Flowise to interfejs użytkownika typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. W wersjach przed 3.0.13, router NVIDIA NIM (/api/v1/nvidia-nim/*) był dozwolony w globalnym middleware autoryzacyjnym, co umożliwiało nieautoryzowany dostęp do uprzywilejowanych punktów zarządzania kontenerami i generowania tokenów.
Risk Assessment
Nieautoryzowany dostęp do krytycznych funkcji zarządzania kontenerami może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego generowania tokenów. Organizacje mogą być narażone na ataki, które mogą prowadzić do utraty danych lub przejęcia kontroli nad systemem.
Recommendation
Zaleca się aktualizację do wersji 3.0.13 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby upewnić się, że inne potencjalne luki są również załatane.
Original NVD description (English source)
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.0.13, the NVIDIA NIM router (/api/v1/nvidia-nim/*) is whitelisted in the global authentication middleware, allowing unauthenticated access to privileged container management and token generation endpoints. This issue has been patched in version 3.0.13.

