CVE-2026-56272
ŚrednieCVSS 4.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 0 — wyżej niż 0% wszystkich znanych CVE
Streszczenie
Flowise przed wersją 3.0.13 używa bcrypt z domyślną liczbą rund soli wynoszącą 5, co daje tylko 32 iteracje zamiast zalecanego przez OWASP minimum 10 rund. Atakujący mogą złamać hasła około 30 razy szybciej przy użyciu nowoczesnych procesorów graficznych, co w przypadku wycieku bazy danych może zagrozić wszystkim kontom użytkowników.
Ocena ryzyka
Ryzyko polega na tym, że w razie naruszenia bazy danych atakujący może szybko odszyfrować hasła użytkowników, co prowadzi do przejęcia kont i potencjalnego dostępu do wrażliwych danych.
Rekomendacja
Zaleca się natychmiastową aktualizację Flowise do wersji 3.0.13 lub nowszej, która stosuje bezpieczniejszą konfigurację bcrypt z co najmniej 10 rundami soli.
Oryginalny opis (angielski, źródło NVD)
Flowise before 3.0.13 uses bcrypt with default salt rounds of 5, providing only 32 iterations instead of the OWASP-recommended minimum of 10 rounds. Attackers can crack password hashes approximately 30 times faster with modern GPU hardware, potentially compromising all user accounts in a database breach scenario.

