Katalog CVE

CVE-2026-56267

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

Flowise w wersjach przed 3.0.13 zawiera podatność na ujawnienie informacji w punkcie końcowym POST /api/v1/account/forgot-password, który zwraca pełne obiekty użytkowników, w tym dane osobowe, nieautoryzowanym atakującym. Atakujący może enumerować ważne adresy e-mail i zbierać wrażliwe dane użytkowników, wysyłając żądania z znanymi adresami e-mail.

Ocena ryzyka

Ujawnienie danych osobowych użytkowników może prowadzić do naruszenia prywatności oraz wykorzystania tych informacji w atakach socjotechnicznych. Organizacja może ponieść straty finansowe oraz reputacyjne w wyniku wycieku danych.

Rekomendacja

Zaleca się aktualizację Flowise do wersji 3.0.13 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy ograniczające dostęp do wrażliwych punktów końcowych API.

Oryginalny opis (angielski, źródło NVD)

Flowise before 3.0.13 contains an information exposure vulnerability in the POST /api/v1/account/forgot-password endpoint that returns full user objects including PII to unauthenticated attackers. An attacker can enumerate valid email addresses and harvest sensitive user data including user IDs, names, account status, and timestamps by sending requests with known email addresses.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS