CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-30824

Critical
Published: Translated: NVD NIST

Summary

Flowise to interfejs użytkownika typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. W wersjach przed 3.0.13, router NVIDIA NIM (/api/v1/nvidia-nim/*) był dozwolony w globalnym middleware autoryzacyjnym, co umożliwiało nieautoryzowany dostęp do uprzywilejowanych punktów zarządzania kontenerami i generowania tokenów.

Risk Assessment

Nieautoryzowany dostęp do krytycznych funkcji zarządzania kontenerami może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego generowania tokenów. Organizacje mogą być narażone na ataki, które mogą prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację do wersji 3.0.13 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby upewnić się, że inne potencjalne luki są również załatane.

Original NVD description (English source)

Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.0.13, the NVIDIA NIM router (/api/v1/nvidia-nim/*) is whitelisted in the global authentication middleware, allowing unauthenticated access to privileged container management and token generation endpoints. This issue has been patched in version 3.0.13.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS