Katalog CVE

CVE-2026-46444

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.09%

Percentyl 25 - wyżej niż 25% wszystkich znanych CVE

Streszczenie

Flowise przed wersją 3.1.2 miał nieautoryzowane punkty końcowe CRUD dla OpenAI Assistants Vector Store, które nie były chronione przez middleware autoryzacji. Ścieżka /api/v1/openai-assistants-vector-store nie była w WHITELIST_URLS i brakowało kontroli uprawnień dla operacji.

Ocena ryzyka

Brak autoryzacji na krytycznych punktach końcowych może prowadzić do nieautoryzowanego dostępu do danych i operacji, co stwarza poważne ryzyko dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 3.1.2, aby zabezpieczyć punkty końcowe przed nieautoryzowanym dostępem oraz wdrożenie odpowiednich kontroli uprawnień.

Oryginalny opis (angielski, źródło NVD)

Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, all CRUD endpoints for OpenAI Assistants Vector Store have no authentication middleware and the route path /api/v1/openai-assistants-vector-store is not in WHITELIST_URLS. However, it is also not protected by the main auth middleware when accessed via API key — the route requires API key auth (not whitelisted), but no permission checks exist on any operation. This issue has been patched in version 3.1.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS