Katalog CVE

CVE-2025-59434

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. Przed sierpniem 2025 roku, w Cloud-Hosted Flowise, istniała uwierzytelniona podatność, która pozwalała użytkownikom na darmowym poziomie dostępu do wrażliwych zmiennych środowiskowych innych najemców za pośrednictwem węzła Custom JavaScript Function.

Ocena ryzyka

Podatność ta prowadziła do pełnej ekspozycji danych między najemcami, co mogło skutkować ujawnieniem tajemnic, takich jak klucze API OpenAI, dane uwierzytelniające AWS, tokeny Supabase oraz sekrety Google Cloud. To stwarza poważne ryzyko dla bezpieczeństwa danych organizacji.

Rekomendacja

Zaleca się aktualizację do wersji Cloud-Hosted Flowise z sierpnia 2025 roku, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt dostępu do wrażliwych danych w organizacji.

Oryginalny opis (angielski, źródło NVD)

Flowise is a drag & drop user interface to build a customized large language model flow. Prior to August 2025 Cloud-Hosted Flowise, an authenticated vulnerability in Flowise Cloud allows any user on the free tier to access sensitive environment variables from other tenants via the Custom JavaScript Function node. This includes secrets such as OpenAI API keys, AWS credentials, Supabase tokens, and Google Cloud secrets — resulting in a full cross-tenant data exposure. This issue has been patched in the August 2025 Cloud-Hosted Flowise.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS