Katalog CVE

CVE-2026-56276

ŚrednieCVSS 6.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Flowise w wersjach przed 3.1.2 zawiera podatność na masowe przypisanie w punkcie końcowym PUT /api/v1/user, co pozwala uwierzytelnionym użytkownikom na bezpośrednią modyfikację pola poświadczeń bez walidacji. Atakujący mogą obejść weryfikację zmiany hasła oraz unieważnienie sesji, dostarczając spreparowany skrót hasła, co umożliwia trwały dostęp do konta po tymczasowym naruszeniu sesji.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do kont użytkowników, co prowadzi do potencjalnej utraty danych i naruszenia bezpieczeństwa. Umożliwienie atakującym trwałego dostępu do konta stwarza poważne zagrożenie dla integralności systemu.

Rekomendacja

Zaleca się aktualizację Flowise do wersji 3.1.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy weryfikacji przy zmianie haseł oraz monitorować logi aktywności użytkowników.

Oryginalny opis (angielski, źródło NVD)

Flowise before 3.1.2 contains a mass assignment vulnerability in the PUT /api/v1/user endpoint that allows authenticated users to directly modify the credential field without validation. Attackers can bypass password change verification and session invalidation by supplying a crafted password hash, establishing persistent account access after temporary session compromise.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS