CVE-2026-41268
CriticalSummary
Flowise, interfejs użytkownika do budowy dostosowanych modeli językowych, przed wersją 3.1.0 ma krytyczną podatność na zdalne wykonanie poleceń (RCE) bez uwierzytelnienia. Można ją wykorzystać poprzez obejście nadpisania parametrów z użyciem słowa kluczowego FILE-STORAGE:: oraz wstrzyknięcia zmiennej środowiskowej NODE_OPTIONS.
Risk Assessment
Wykorzystanie tej podatności pozwala na wykonanie dowolnych poleceń systemowych z uprawnieniami roota w kontenerze Flowise, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Atakujący potrzebuje jedynie jednego żądania HTTP, bez potrzeby uwierzytelnienia.
Recommendation
Zaleca się aktualizację do wersji 3.1.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, aby ograniczyć dostęp do instancji Flowise.
Original NVD description (English source)
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, Flowise is vulnerable to a critical unauthenticated remote command execution (RCE) vulnerability. It can be exploited via a parameter override bypass using the FILE-STORAGE:: keyword combined with a NODE_OPTIONS environment variable injection. This allows for the execution of arbitrary system commands with root privileges within the containerized Flowise instance, requiring only a single HTTP request and no authentication or knowledge of the instance. This vulnerability is fixed in 3.1.0.

