CVE-2025-71335
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Flowise przed wersją 3.0.10 (dotknięte wersje 3.0.7 i wcześniejsze) nie unieważnia istniejących sesji i tokenów sesji po zmianie hasła przez użytkownika. Atakujący, który posiada aktywną sesję, na przykład poprzez skradziony token sesji lub pozostawione zalogowane urządzenie, pozostaje uwierzytelniony jako uprawniony użytkownik nawet po zmianie jego poświadczeń.
Ocena ryzyka
Ryzyko polega na tym, że zmiana hasła nie chroni przed atakującym, który już przejął sesję, co umożliwia mu dalszy nieautoryzowany dostęp do konta i danych użytkownika.
Rekomendacja
Należy niezwłocznie zaktualizować Flowise do wersji 3.0.10 lub nowszej, która zawiera poprawkę unieważniającą sesje po zmianie hasła.
Oryginalny opis (angielski, źródło NVD)
Flowise before 3.0.10 (affected versions 3.0.7 and earlier) fails to invalidate existing sessions and session tokens after a user changes their password. An attacker who already holds an active session, for example via a stolen session token or a device left logged in, remains authenticated as the legitimate user even after the user rotates their credentials, undermining the security purpose of the password change.

