Katalog CVE

CVE-2026-56270

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 — wyżej niż 30% wszystkich znanych CVE

Streszczenie

Podatność w Flowise przed wersją 3.1.0 (wersje 3.0.13 i wcześniejsze) polega na braku uwierzytelnienia w punkcie końcowym /api/v1/loginmethod. Niezalogowani atakujący mogą, podając parametr organizationId, pobrać pełną konfigurację SSO organizacji, w tym sekrety klientów OAuth w postaci jawnego tekstu dla integracji z Google, Microsoft/Azure, GitHub i Auth0.

Ocena ryzyka

Ryzyko polega na możliwości kradzieży wrażliwych danych uwierzytelniających API przez zdalnego atakującego, co może prowadzić do nieautoryzowanego dostępu do systemów zewnętrznych i naruszenia bezpieczeństwa organizacji.

Rekomendacja

Należy niezwłocznie zaktualizować Flowise do wersji 3.1.0 lub nowszej. W przypadku samodzielnie hostowanych instancji, tymczasowo zablokować dostęp do punktu końcowego /api/v1/loginmethod dla niezaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

Flowise before 3.1.0 (versions 3.0.13 and earlier) contains a missing authentication vulnerability in the /api/v1/loginmethod endpoint that allows unauthenticated users to retrieve an organization's complete SSO configuration, including OAuth client secrets in cleartext, by providing an organizationId parameter. Remote attackers can send a GET request to harvest sensitive API credentials for Google, Microsoft/Azure, GitHub, and Auth0 integrations. This affects FlowiseAI Cloud and self-hosted instances where the endpoint is exposed.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS