Katalog CVE

CVE-2026-30824

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Flowise to interfejs użytkownika typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. W wersjach przed 3.0.13, router NVIDIA NIM (/api/v1/nvidia-nim/*) był dozwolony w globalnym middleware autoryzacyjnym, co umożliwiało nieautoryzowany dostęp do uprzywilejowanych punktów zarządzania kontenerami i generowania tokenów.

Ocena ryzyka

Nieautoryzowany dostęp do krytycznych funkcji zarządzania kontenerami może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego generowania tokenów. Organizacje mogą być narażone na ataki, które mogą prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację do wersji 3.0.13 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby upewnić się, że inne potencjalne luki są również załatane.

Oryginalny opis (angielski, źródło NVD)

Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.0.13, the NVIDIA NIM router (/api/v1/nvidia-nim/*) is whitelisted in the global authentication middleware, allowing unauthenticated access to privileged container management and token generation endpoints. This issue has been patched in version 3.0.13.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS