Katalog CVE

CVE-2026-46443

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 10 - wyżej niż 10% wszystkich znanych CVE

Streszczenie

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. W wersjach przed 3.1.2, podczas pobierania poświadczeń z użyciem parametru filter credentialName, pole encryptedData nie jest usuwane z odpowiedzi, co może prowadzić do ujawnienia wrażliwych danych.

Ocena ryzyka

Ujawnienie zaszyfrowanych danych może prowadzić do naruszenia bezpieczeństwa, umożliwiając atakującym dostęp do poufnych informacji. Organizacje powinny być świadome ryzyka związanego z niewłaściwym zarządzaniem poświadczeniami.

Rekomendacja

Zaleca się aktualizację do wersji 3.1.2 lub nowszej, aby usunąć to zagrożenie. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa w celu oceny potencjalnych skutków tej podatności.

Oryginalny opis (angielski, źródło NVD)

Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, when credentials are fetched with a credentialName filter parameter, the encryptedData field is not stripped from the response. The code properly omits encryptedData when no filter is used but fails to do so when a filter is used. This issue has been patched in version 3.1.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS