CRITICAL🇬🇧 English

CVE-2026-46440

Flowise: niebezpieczna walidacja danych uwierzytelniających w endpoincie checkBasicAuth

CVSS 9.1v3.0pub. 2026-06-08upd. 2026-06-11

W aplikacji Flowise (wersje przed 3.1.2) endpoint checkBasicAuth porównuje dane logowania w postaci jawnego tekstu (plaintext) bez jakiegokolwiek ograniczenia liczby prób. Podatność umożliwia atakującemu nieautoryzowane przejęcie dostępu do systemu poprzez ataki brute-force lub ujawnienie danych uwierzytelniających.

Pokaż oryginał (EN)

Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, the checkBasicAuth endpoint validates credentials in plaintext without rate limiting and with direct comparison. This issue has been patched in version 3.1.2.

🤖 Analiza AI
Jak działa

Endpoint checkBasicAuth weryfikuje podane poświadczenia (login i hasło) poprzez bezpośrednie porównanie w postaci niezaszyfrowanej (plaintext), co odpowiada klasyfikacji CWE-522 — niewystarczająco chronione dane uwierzytelniające. Brak mechanizmu rate limiting oznacza, że atakujący może wykonywać nieograniczoną liczbę prób logowania bez żadnych konsekwencji. Bezpośrednie porównanie bez zastosowania bezpiecznych funkcji hashujących dodatkowo zwiększa ryzyko ujawnienia hasła.

Skutki

Atakujący zdalny, nieuwierzytelniony może skutecznie przeprowadzić atak brute-force na dane logowania i uzyskać nieautoryzowany dostęp do aplikacji Flowise wraz z jej zasobami, w tym skonfigurowanymi przepływami LLM. W przypadku kompromitacji poświadczeń możliwe jest pełne przejęcie kontroli nad środowiskiem.

Mitygacja

Należy zaktualizować Flowise do wersji 3.1.2 lub nowszej, w której podatność została usunięta. Patch dostępny jest w oficjalnym repozytorium GitHub pod adresem wskazanym w referencjach.

Kogo dotyczy

Flowise (FlowiseAI) w wersjach wcześniejszych niż 3.1.2

Uwagi

Podatność sklasyfikowana jako CWE-522 (Insufficiently Protected Credentials). Poprawka została opublikowana w wersji 3.1.2 zgodnie z informacją producenta zawartą w opisie CVE.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Flowiseai Flowise

    APP
    Flowiseai
    < 3.1.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-71336CRITICAL9.3PL ✓ten sam produkt

RCE w Flowise — command injection przez endpoint Custom MCP

CVE-2025-71327CRITICAL9.3PL ✓ten sam produkt

Flowise – Authentication Bypass przez niezabezpieczony endpoint rejestracji

CVE-2025-71333CRITICAL9.3PL ✓ten sam produkt

Flowise – nieuwierzytelniony upload plików z path traversal umożliwiający RCE

CVE-2025-71334CRITICAL9.3PL ✓ten sam produkt

Flowise – path traversal umożliwiający zapis/odczyt plików i RCE (bez uwierzytelnienia)

CVE-2025-71338CRITICAL10.0PL ✓ten sam produkt

Flowise: path traversal umożliwiający zapis plików i RCE bez uwierzytelnienia