CRITICAL🇬🇧 English

CVE-2025-71338

Flowise: path traversal umożliwiający zapis plików i RCE bez uwierzytelnienia

CVSS 10.0v4.0pub. 2026-06-25upd. 2026-07-01

Flowise zawiera podatność typu path traversal w endpoincie /api/v1/document-store/loader/process, która pozwala nieuwierzytelnionym atakującym na zapis dowolnych plików w systemie plików serwera. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla każdej instancji Flowise dostępnej w sieci.

Pokaż oryginał (EN)

Flowise contains a path traversal vulnerability in the /api/v1/document-store/loader/process endpoint that allows unauthenticated attackers to write arbitrary files to the filesystem. Attackers can exploit unsanitized fileName parameters with ../ sequences to overwrite critical files like package.json and achieve remote code execution when the application restarts.

🤖 Analiza AI
Jak działa

Atakujący wysyła żądanie do endpointu /api/v1/document-store/loader/process, przekazując w parametrze fileName sekwencje path traversal (../) bez konieczności uwierzytelnienia. Brak sanityzacji parametru fileName pozwala na wyjście poza dozwolony katalog i nadpisanie dowolnych plików w systemie plików — w tym krytycznych plików aplikacji, takich jak package.json. Po nadpisaniu kluczowego pliku i ponownym uruchomieniu aplikacji złośliwy kod zostaje wykonany przez serwer, co skutkuje uzyskaniem RCE.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez RCE, co obejmuje możliwość kradzieży danych, instalacji backdoorów, lateral movement w sieci oraz całkowitego przejęcia środowiska, w którym działa Flowise.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (GitHub Security Advisory GHSA-8vvx-qvq9-5948). Do czasu aktualizacji zaleca się ograniczenie dostępu do endpointu /api/v1/document-store/loader/process na poziomie firewall lub reverse proxy oraz wymuszenie uwierzytelnienia przed dotarciem do aplikacji.

Kogo dotyczy

Aplikacja Flowise — wersje wskazane w referencjach producenta (dotyczy instancji dostępnych sieciowo bez dodatkowej warstwy uwierzytelnienia).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Flowiseai Flowise

    APP
    Flowiseai
    ≤ 3.1.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath TraversalAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-71336CRITICAL9.3PL ✓ten sam produkt

RCE w Flowise — command injection przez endpoint Custom MCP

CVE-2025-71327CRITICAL9.3PL ✓ten sam produkt

Flowise – Authentication Bypass przez niezabezpieczony endpoint rejestracji

CVE-2025-71333CRITICAL9.3PL ✓ten sam produkt

Flowise – nieuwierzytelniony upload plików z path traversal umożliwiający RCE

CVE-2025-71334CRITICAL9.3PL ✓ten sam produkt

Flowise – path traversal umożliwiający zapis/odczyt plików i RCE (bez uwierzytelnienia)

CVE-2026-46440CRITICAL9.1PL ✓ten sam produkt

Flowise: niebezpieczna walidacja danych uwierzytelniających w endpoincie checkBasicAuth