Katalog CVE

CVE-2025-71324

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

Flowise przed wersją 3.0.6 zawiera podatność na odczyt dowolnego pliku w parametrze chatId endpointów /api/v1/get-upload-file oraz /api/v1/openai-assistants-file/download. Wartość chatId nie jest walidowana i przekazywana do funkcji streamStorageFile(), gdzie ścieżka wyszukiwania pliku skonstruowana bez orgId jest oceniana po sprawdzeniu ograniczenia katalogu przechowywania, co umożliwia przejście poza zamierzony katalog. Nieuwierzytelnieni atakujący mogą odczytać wrażliwe pliki, takie jak /root/.flowise/database.sqlite, ujawniając całą zawartość bazy danych w domyślnej konfiguracji.

Ocena ryzyka

Ryzyko dla organizacji jest krytyczne, ponieważ nieuwierzytelniony atakujący może uzyskać dostęp do poufnych danych przechowywanych w bazie danych Flowise, w tym potencjalnie haseł, tokenów i innych sekretów, co może prowadzić do pełnej kompromitacji systemu.

Rekomendacja

Należy natychmiast zaktualizować Flowise do wersji 3.0.6 lub nowszej, która zawiera poprawkę usuwającą podatność. Dodatkowo, zaleca się ograniczenie dostępu do endpointów API za pomocą zapory sieciowej lub uwierzytelniania.

Oryginalny opis (angielski, źródło NVD)

Flowise before 3.0.6 contains an arbitrary file read vulnerability in the chatId parameter of the /api/v1/get-upload-file and /api/v1/openai-assistants-file/download endpoints. The chatId value is not validated and is passed to streamStorageFile(), where a fallback file-lookup path constructed without the orgId is evaluated after the storage-directory containment check, allowing path traversal beyond the intended storage directory. Unauthenticated attackers can read sensitive files such as /root/.flowise/database.sqlite, exposing all database content in the default configuration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS