Katalog CVE

CVE-2025-71331

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Flowise w wersjach przed 3.0.8 zawiera podatność typu cross-site scripting (XSS) spowodowaną niewystarczającym filtrowaniem danych wejściowych w wiadomościach czatu oraz funkcjach agentów niestandardowych. Atakujący może wstrzyknąć złośliwy kod JavaScript, co prowadzi do kradzieży ciasteczek i danych sesji.

Ocena ryzyka

Podatność ta stwarza ryzyko kradzieży danych sesji użytkowników, co może prowadzić do nieautoryzowanego dostępu do kont oraz innych zasobów organizacji.

Rekomendacja

Zaleca się aktualizację Flowise do wersji 3.0.8 lub nowszej oraz wdrożenie odpowiednich mechanizmów filtrowania danych wejściowych w celu zminimalizowania ryzyka XSS.

Oryginalny opis (angielski, źródło NVD)

Flowise before 3.0.8 contains a cross-site scripting (XSS) vulnerability caused by insufficient input filtering in chat messages and custom agent functions. An attacker can inject malicious JavaScript by sending an iframe payload (e.g., <iframe src="javascript:alert(document.cookie)">) in a chat box, or by having a custom agent function return an XSS payload from an external website. The injected script executes in the victim's browser, enabling theft of cookies and session data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS