Katalog CVE

CVE-2026-56275

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Flowise w wersjach przed 3.1.0 zawiera podatność typu server-side request forgery (SSRF) w węźle Execute Flow, która pozwala atakującym na obejście walidacji bezpieczeństwa poprzez podanie adresów intranetowych w polu podstawowego URL. Atakujący mogą inicjować żądania HTTP do adresów wewnętrznych sieci oraz uzyskiwać dostęp do metadanych chmurowych.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych organizacji oraz umożliwić enumerację usług wewnętrznych, co zwiększa ryzyko wycieku danych.

Rekomendacja

Zaleca się aktualizację Flowise do wersji 3.1.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby zidentyfikować i zminimalizować ryzyko związane z SSRF.

Oryginalny opis (angielski, źródło NVD)

Flowise before 3.1.0 contains a server-side request forgery vulnerability in the Execute Flow node that allows attackers to bypass security validation by providing intranet addresses through the base URL field. Attackers can initiate HTTP requests to internal network addresses, access cloud metadata, and enumerate internal services by exploiting the missing secureFetch verification in httpSecurity.ts.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS