CVE-2025-71331
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Flowise w wersjach przed 3.0.8 zawiera podatność typu cross-site scripting (XSS) spowodowaną niewystarczającym filtrowaniem danych wejściowych w wiadomościach czatu oraz funkcjach agentów niestandardowych. Atakujący może wstrzyknąć złośliwy kod JavaScript, co prowadzi do kradzieży ciasteczek i danych sesji.
Ocena ryzyka
Podatność ta stwarza ryzyko kradzieży danych sesji użytkowników, co może prowadzić do nieautoryzowanego dostępu do kont oraz innych zasobów organizacji.
Rekomendacja
Zaleca się aktualizację Flowise do wersji 3.0.8 lub nowszej oraz wdrożenie odpowiednich mechanizmów filtrowania danych wejściowych w celu zminimalizowania ryzyka XSS.
Oryginalny opis (angielski, źródło NVD)
Flowise before 3.0.8 contains a cross-site scripting (XSS) vulnerability caused by insufficient input filtering in chat messages and custom agent functions. An attacker can inject malicious JavaScript by sending an iframe payload (e.g., <iframe src="javascript:alert(document.cookie)">) in a chat box, or by having a custom agent function return an XSS payload from an external website. The injected script executes in the victim's browser, enabling theft of cookies and session data.

