Katalog CVE

CVE-2026-56269

ŚrednieCVSS 4.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.09%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

Flowise przed wersją 3.1.0 (pakiet npm flowise, wersje 3.0.13 i wcześniejsze) używa słabego, zakodowanego na stałe domyślnego hasła 'Secre$t' dla zmiennej środowiskowej TOKEN_HASH_SECRET w pliku packages/server/src/enterprise/utils/tempTokenUtils.ts, gdy zmienna nie jest skonfigurowana. Ten sekret jest używany do wyprowadzania klucza AES-256-CBC, który szyfruje identyfikatory użytkowników i obszarów roboczych w polu 'meta' tokenów JWT. Atakujący znający domyślny sekret może odszyfrować te metadane, aby wydobyć wewnętrzne identyfikatory użytkowników i obszarów roboczych, a następnie ponownie zaszyfrować zmodyfikowane wartości, takie jak zmienione identyfikatory użytkowników lub obszarów roboczych.

Ocena ryzyka

Ryzyko polega na ujawnieniu wewnętrznych identyfikatorów oraz możliwości manipulacji metadanymi, co może ułatwić eskalację uprawnień lub nieautoryzowany dostęp do danych, mimo że podpis JWT jest walidowany osobno.

Rekomendacja

Zaleca się natychmiastową aktualizację Flowise do wersji 3.1.0 lub nowszej oraz skonfigurowanie silnego, unikalnego hasła dla zmiennej środowiskowej TOKEN_HASH_SECRET.

Oryginalny opis (angielski, źródło NVD)

Flowise before 3.1.0 (npm package flowise, versions 3.0.13 and earlier) uses a weak hardcoded default value 'Secre$t' for the TOKEN_HASH_SECRET environment variable in packages/server/src/enterprise/utils/tempTokenUtils.ts when the variable is not configured. This secret derives the AES-256-CBC key used to encrypt user IDs and workspace IDs in the 'meta' field of JWT tokens. An attacker who knows the default secret can decrypt this metadata to extract internal user and workspace identifiers, and re-encrypt manipulated values such as altered user or workspace IDs. Because the JWT signature is validated separately, decrypting or tampering with this metadata does not by itself grant access, but the disclosure of internal identifiers and possible metadata manipulation could aid privilege escalation or unauthorized data access.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS