CVE-2026-56269
ŚrednieCVSS 4.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
Flowise przed wersją 3.1.0 (pakiet npm flowise, wersje 3.0.13 i wcześniejsze) używa słabego, zakodowanego na stałe domyślnego hasła 'Secre$t' dla zmiennej środowiskowej TOKEN_HASH_SECRET w pliku packages/server/src/enterprise/utils/tempTokenUtils.ts, gdy zmienna nie jest skonfigurowana. Ten sekret jest używany do wyprowadzania klucza AES-256-CBC, który szyfruje identyfikatory użytkowników i obszarów roboczych w polu 'meta' tokenów JWT. Atakujący znający domyślny sekret może odszyfrować te metadane, aby wydobyć wewnętrzne identyfikatory użytkowników i obszarów roboczych, a następnie ponownie zaszyfrować zmodyfikowane wartości, takie jak zmienione identyfikatory użytkowników lub obszarów roboczych.
Ocena ryzyka
Ryzyko polega na ujawnieniu wewnętrznych identyfikatorów oraz możliwości manipulacji metadanymi, co może ułatwić eskalację uprawnień lub nieautoryzowany dostęp do danych, mimo że podpis JWT jest walidowany osobno.
Rekomendacja
Zaleca się natychmiastową aktualizację Flowise do wersji 3.1.0 lub nowszej oraz skonfigurowanie silnego, unikalnego hasła dla zmiennej środowiskowej TOKEN_HASH_SECRET.
Oryginalny opis (angielski, źródło NVD)
Flowise before 3.1.0 (npm package flowise, versions 3.0.13 and earlier) uses a weak hardcoded default value 'Secre$t' for the TOKEN_HASH_SECRET environment variable in packages/server/src/enterprise/utils/tempTokenUtils.ts when the variable is not configured. This secret derives the AES-256-CBC key used to encrypt user IDs and workspace IDs in the 'meta' field of JWT tokens. An attacker who knows the default secret can decrypt this metadata to extract internal user and workspace identifiers, and re-encrypt manipulated values such as altered user or workspace IDs. Because the JWT signature is validated separately, decrypting or tampering with this metadata does not by itself grant access, but the disclosure of internal identifiers and possible metadata manipulation could aid privilege escalation or unauthorized data access.

