CVE-2026-46444
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 - wyżej niż 25% wszystkich znanych CVE
Streszczenie
Flowise przed wersją 3.1.2 miał nieautoryzowane punkty końcowe CRUD dla OpenAI Assistants Vector Store, które nie były chronione przez middleware autoryzacji. Ścieżka /api/v1/openai-assistants-vector-store nie była w WHITELIST_URLS i brakowało kontroli uprawnień dla operacji.
Ocena ryzyka
Brak autoryzacji na krytycznych punktach końcowych może prowadzić do nieautoryzowanego dostępu do danych i operacji, co stwarza poważne ryzyko dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 3.1.2, aby zabezpieczyć punkty końcowe przed nieautoryzowanym dostępem oraz wdrożenie odpowiednich kontroli uprawnień.
Oryginalny opis (angielski, źródło NVD)
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, all CRUD endpoints for OpenAI Assistants Vector Store have no authentication middleware and the route path /api/v1/openai-assistants-vector-store is not in WHITELIST_URLS. However, it is also not protected by the main auth middleware when accessed via API key — the route requires API key auth (not whitelisted), but no permission checks exist on any operation. This issue has been patched in version 3.1.2.

