CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-41265

Critical
Published: Translated: NVD NIST

Summary

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów modeli językowych. Przed wersją 3.1.0 występował błąd w metodzie run klasy Airtable_Agents, który wynikał z braku odpowiedniego piaskownicy przy ocenie skryptu Pythona generowanego przez LLM.

Risk Assessment

Atakujący bez uwierzytelnienia, który potrafi wysyłać zapytania do chatflow za pomocą węzła Airtable Agent, może wykorzystać techniki wstrzykiwania zapytań, aby skłonić LLM do odpowiedzi złośliwym skryptem Pythona, co prowadzi do wykonania poleceń kontrolowanych przez atakującego na serwerze Flowise.

Recommendation

Zaleca się aktualizację do wersji 3.1.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie i ograniczenie dostępu do interfejsu.

Original NVD description (English source)

Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, the specific flaw exists within the run method of the Airtable_Agents class. The issue results from the lack of proper sandboxing when evaluating an LLM generated python script. Using prompt injection techniques, an unauthenticated attacker with the ability to send prompts to a chatflow using the Airtable Agent node may convince an LLM to respond with a malicious python script that executes attacker controlled commands on the flowise server. This vulnerability is fixed in 3.1.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS