Katalog CVE

CVE-2026-56272

ŚrednieCVSS 4.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.07%

Percentyl 0 — wyżej niż 0% wszystkich znanych CVE

Streszczenie

Flowise przed wersją 3.0.13 używa bcrypt z domyślną liczbą rund soli wynoszącą 5, co daje tylko 32 iteracje zamiast zalecanego przez OWASP minimum 10 rund. Atakujący mogą złamać hasła około 30 razy szybciej przy użyciu nowoczesnych procesorów graficznych, co w przypadku wycieku bazy danych może zagrozić wszystkim kontom użytkowników.

Ocena ryzyka

Ryzyko polega na tym, że w razie naruszenia bazy danych atakujący może szybko odszyfrować hasła użytkowników, co prowadzi do przejęcia kont i potencjalnego dostępu do wrażliwych danych.

Rekomendacja

Zaleca się natychmiastową aktualizację Flowise do wersji 3.0.13 lub nowszej, która stosuje bezpieczniejszą konfigurację bcrypt z co najmniej 10 rundami soli.

Oryginalny opis (angielski, źródło NVD)

Flowise before 3.0.13 uses bcrypt with default salt rounds of 5, providing only 32 iterations instead of the OWASP-recommended minimum of 10 rounds. Attackers can crack password hashes approximately 30 times faster with modern GPU hardware, potentially compromising all user accounts in a database breach scenario.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS