CVE-2026-56270
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 — wyżej niż 30% wszystkich znanych CVE
Streszczenie
Podatność w Flowise przed wersją 3.1.0 (wersje 3.0.13 i wcześniejsze) polega na braku uwierzytelnienia w punkcie końcowym /api/v1/loginmethod. Niezalogowani atakujący mogą, podając parametr organizationId, pobrać pełną konfigurację SSO organizacji, w tym sekrety klientów OAuth w postaci jawnego tekstu dla integracji z Google, Microsoft/Azure, GitHub i Auth0.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży wrażliwych danych uwierzytelniających API przez zdalnego atakującego, co może prowadzić do nieautoryzowanego dostępu do systemów zewnętrznych i naruszenia bezpieczeństwa organizacji.
Rekomendacja
Należy niezwłocznie zaktualizować Flowise do wersji 3.1.0 lub nowszej. W przypadku samodzielnie hostowanych instancji, tymczasowo zablokować dostęp do punktu końcowego /api/v1/loginmethod dla niezaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
Flowise before 3.1.0 (versions 3.0.13 and earlier) contains a missing authentication vulnerability in the /api/v1/loginmethod endpoint that allows unauthenticated users to retrieve an organization's complete SSO configuration, including OAuth client secrets in cleartext, by providing an organizationId parameter. Remote attackers can send a GET request to harvest sensitive API credentials for Google, Microsoft/Azure, GitHub, and Auth0 integrations. This affects FlowiseAI Cloud and self-hosted instances where the endpoint is exposed.

