CVE-2025-71328
WysokieCVSS 8.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
Flowise przed wersją 3.0.10 zawiera lukę polegającą na braku weryfikacji bieżącego hasła podczas zmiany hasła przez uwierzytelnionego użytkownika. Atakujący, który przejmie sesję, może bez podania starego hasła zmienić hasło ofiary, co prowadzi do pełnego przejęcia konta.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość przejęcia kont użytkowników przez atakujących, którzy uzyskają dostęp do sesji, co może skutkować nieautoryzowanym dostępem do wrażliwych danych i systemów.
Rekomendacja
Zaleca się natychmiastową aktualizację Flowise do wersji 3.0.10 lub nowszej, która usuwa tę lukę. Dodatkowo warto wdrożyć mechanizmy monitorowania sesji i wymuszać weryfikację bieżącego hasła przy każdej zmianie.
Oryginalny opis (angielski, źródło NVD)
Flowise before 3.0.10 contains an unverified password change vulnerability. An authenticated user can change their account password through the account settings (Security) section without supplying the current password or any additional verification, as the application does not enforce a current-password check on the credential change. This can lead to full account takeover, particularly if an attacker can hijack or coerce an authenticated session.

