Katalog CVE

CVE-2026-41274

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Flowise przed wersją 3.1.0 ma podatność w węźle GraphCypherQAChain, który przekazuje dane wejściowe od użytkownika bez odpowiedniej sanitizacji. To pozwala atakującemu na wstrzykiwanie dowolnych poleceń Cypher, które są wykonywane na bazie danych Neo4j.

Ocena ryzyka

Atakujący może uzyskać dostęp do danych, modyfikować je lub je usuwać, co stwarza poważne zagrożenie dla integralności i poufności danych w organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 3.1.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony bazy danych.

Oryginalny opis (angielski, źródło NVD)

Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, the GraphCypherQAChain node forwards user-provided input directly into the Cypher query execution pipeline without proper sanitization. An attacker can inject arbitrary Cypher commands that are executed on the underlying Neo4j database, enabling data exfiltration, modification, or deletion. This vulnerability is fixed in 3.1.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS