Flowise
Уязвимости
66
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.90183
Распределение по критичности
Критический
15
Высокий
39
Средний
11
Низкий
1
Затронутые диапазоны версий
3.0.1–3.0.83.0.5–3.0.6< 2.1.1< 3.0.1< 3.0.13< 3.0.5< 3.0.8< 3.1.0< 3.1.2≤ 1.4.3≤ 1.6.5≤ 1.8.2≤ 2.2.3≤ 3.0.12≤ 3.0.5
Также сопоставлено как (исходные строки): flowise,embed
Топ уязвимостей
CVE-2025-59528Flowise - это пользовательский интерфейс для создания настраиваемого потока большой языковой модели. В версии 3.0.5 Flowise уязвим для удаленного выполнения кода. Пользовательский узел MCP позволяет пользователям вводить настройки конфигурации для подключения к внешнему серверу MCP. Этот узел анализирует предоставленную пользователем струну mcpServerConfig для построения конфигурации сервера MCP. Однако в ходе этого процесса он выполняет код JavaScript без какой-либо проверки безопасности. В частности, внутри функции преобразованияToValidJSONString пользовательский ввод непосредственно передается конструктору Function(), который оценивает и выполняет ввод как код JavaScript. Поскольку он работает с полными привилегиями Node.js runtime, он может получить доступ к опасным модулям, таким как child_process и fs. Эта проблема была исправлена в версии 3.0.6.
CVE-2026-40933Flowise - это пользовательский интерфейс drag & drop для создания настраиваемого потока большой языковой модели. До 3.1.0, из-за небезопасной сериализации страй-команд в MCP адаптер, аутентифицированный злоумышленник может добавить строй-сервер MCP с произвольным командованием, достигая командного выполнения. Уязвимость заключается в ошибке в санации ввода из конфигурации «Custom MCP» в http://localhost:3000/canvas - где любой пользователь может добавить новый MCP, при этом - добавляя новый MCP с помощью stdio, пользователь может добавить любую команду, даже если ваш код имеет проверки вводной санации, такие как проверка санации ввода, такие как проверка безопасностиCommandInjection и validAd.быть объединены с аргументами выполнения кода («-c touch /tmp/pwn»), которые позволяют осуществлять прямое выполнение кода на базовой ОС. Эта уязвимость фиксируется в 3.1.0.
CVE-2025-61913Flowise - это пользовательский интерфейс перетаскивания для создания настраиваемого потока большой языковой модели. В версиях до 3.0.8, WriteFileTool и ReadFileTool в Flowise не ограничивают доступ к пути файла, что позволяет аутентифицированным злоумышленникам использовать эту уязвимость для чтения и записи произвольных файлов в любой путь в файловой системе, что потенциально может привести к удаленному выполнению команды. Flowise 3.0.8 исправляет эту уязвимость.
CVE-2026-41268Flowise - это пользовательский интерфейс drag & drop для создания настраиваемого потока большой языковой модели. До 3.1,0, Flowise уязвим для критической уязвимости удаленного выполнения командования (RCE). Он может быть использован с помощью обхода параметра с использованием ФАЙЛА-КПищателя:: ключевое слово в сочетании с впрыском среды NODE_OPTIONS. Это позволяет выполнять произвольные системные команды с корневыми привилегиями в контейнеризированном экземпляре Flowise, требуя только одного HTTP-запроса и отсутствия аутентификации или знания экземпляра. Эта уязвимость фиксируется в 3.1.0.
CVE-2026-41267Flowise - это пользовательский интерфейс drag & drop для создания настраиваемого потока большой языковой модели. До 3.1,0, неправильная уязвимость при распределении массы (инъекция JSON) в конечной точке регистрации учетной записи Flowise Cloud позволяет неаутентифицированным злоумышленникам вводить управляемые сервером поля и вложенные объекты во время создания учетной записи. Это позволяет контролировать клиента метаданные собственности, временные метки, ассоциации организации и картографирования ролей, нарушая границы доверия в среде с несколькими арендаторами. Эта уязвимость фиксируется в 3.1.0.
CVE-2025-8943Функция Custom MCPs предназначена для выполнения команд ОС, например, с использованием таких инструментов, как `npx` для вращения локальных MCP-серверов. Тем не менее, присущая Flowise модель аутентификации и авторизации минимальна и не имеет ролевого контроля доступа (RBAC). Кроме того, в версиях Flowise до 3.0.1 установка по умолчанию работает без аутентификации, если она явно не настроена. Эта комбинация позволяет неаутентифицированным сетевым злоумышленникам выполнять несанкционные команды ОС.
CVE-2025-58434В Flowise версии 3.0.5 и ранее обнаружена уязвимость, связанная с раскрытием токена сброса пароля без аутентификации или проверки. Это позволяет атакующему сбросить пароль любого пользователя и получить полный контроль над его аккаунтом. Для устранения этой уязвимости рекомендуется не возвращать токены сброса пароля в ответах API, а также применять строгую валидацию tempToken.
Источники:
- [1] https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-wgpv-6j63-x5ph
- [2] https://github.com/FlowiseAI/Flowise/commit/9e178d68873eb876073846433a596590d3d9c863
CVE-2025-55346Управляемый пользователем входные потоки в небезопасную реализацию конструктора динамических функций, позволяя сетевым злоумышленникам запускать произвольный код JS в контексте хоста, отправляя простой запрос POST.
CVE-2025-26319В FlowiseAI Flowise версии v2.2.6 была обнаружена уязвимость произвольной загрузки файлов в /api/v1/attachments.
CVE-2026-46442Flowise - это пользовательский интерфейс перетаскивания для создания настраиваемого потока большой языковой модели. До версии 3.1.2 POST /api/v1/node-custom-функция не имеет авторизации на уровне маршрута, что позволяет любому аутентифицированному пользователю или ключу API подавать произвольный JavaScript в узел Custom JS Function. Когда E2B_APIKEY не настроен — общий случай развертывания — Flowise выполняет этот код в песочнице NodeVM. Из этой песочницы можно избежать, что позволяет злоумышленнику достичь объекта процесса хоста и выполнять системные команды с помощью child_process. Результатом является аутентифицированное удаленное выполнение кода на хосте сервера Flowise. Этот вопрос был исправлен в версии 3.1.2.
CVE-2026-41137Flowise - это пользовательский интерфейс перетаскивания для создания настраиваемого потока большой языковой модели. До 3.1,0, CSVAgent позволяет предоставлять пользовательский код Pandas CSV. Из-за отсутствия дезинфекции злоумышленник может предоставить полезную нагрузку командного инъекционного ввода, которая будет интерполирована и выполнена сервером. Эта уязвимость фиксируется в разделе 3.1.0.
CVE-2026-41274Flowise - это пользовательский интерфейс перетаскивания для создания настраиваемого потока большой языковой модели. До 3.1,0, узел GraphCypherQAhain перенастраивается пользовательским вводом непосредственно в конвейер выполнения запросов Cypher без надлежащей дезинфекции. Злоумышленник может вводить произвольные команды Cypher, которые выполняются в базовой базе данных Neo4j, что позволяет эксфильтровать, модифицировать или делегировать данные. Эта уязвимость зафиксирована в 3.1.0.
CVE-2026-41265Flowise - это пользовательский интерфейс перетаскивания для создания настраиваемого потока большой языковой модели. До 3.1,0, конкретный недостаток существует в методе запуска класса Airtable_Agents. Проблема возникает из-за отсутствия надлежащей песочницы при оценке сценария питона, сгенерированного LLM. Используя методы быстрого впрыска, неаутентифицированный злоумышленник с возможностью отправлять подсказки в чат-поток с помощью узла Airtable Agent может убедить LLM ответить вредоносным скриптом питона, который выполняет команды, управляемые атакующим нападающим на сервере. Эта уязвимость исправлена в 3.1.0.
CVE-2026-41264Flowise - это пользовательский интерфейс перетаскивания для создания настраиваемого потока большой языковой модели. До 3.1,0, конкретный недостаток существует в методе запуска класса CSV_Agents. Проблема возникает из-за отсутствия надлежащей песочницы при оценке сценария питона, сгенерированного LLM. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте пользователя, запускающего сервер. Используя методы быстрого впрыска, неаутентифицированный злоумышленник с возможностью отправлять подсказки в поток чата с помощью узла CSV Agent может убедить LLM ответить вредоносным скриптом питона, который выполняет управляемые атакующими командами на сервере Flowise. Эта уязвимость исправлена в 3.1.0.
CVE-2026-46440Flowise - это пользовательский интерфейс перетаскивания для создания настраиваемого потока большой языковой модели. До версии 3.1.2 конечная точка checkBasicAuth проверяет учетные данные в открытом тексте без ограничения скорости и с прямым сравнением. Этот вопрос был исправлен в версии 3.1.2.
CVE-2026-41269Flowise - это пользовательский интерфейс drag & drop для создания настраиваемого потока большой языковой модели. До 3.1,0, настройки загрузки файла конфигурации Chatflow могут быть изменены, чтобы разрешить тип MIME приложения/javascript. Это позволяет злоумышленнику загружать файлы .js, даже если интерфейс обычно не позволяет загружать JavaScript. Это позволяет злоумышленникам постоянно хранить вредоносные веб-оболочки Node.js на сервере, что может привести к удаленному исполнению кода (RCE). Эта уязвимость фиксируется в 3.1.0.
CVE-2026-41138Flowise - это пользовательский интерфейс перетаскивания для создания настраиваемого потока большой языковой модели. До 3.1,0, существует уязвимость удаленного выполнения кода в AirtableAgent.ts, вызванная отсутствием проверки ввода при использовании Pandas. Вход пользователя непосредственно применяется к параметру вопросов в шаблоне запроса и отражается на коде Python без какой-либо дезинфекции. Эта уязвимость фиксируется в разделе 3.1.0.
CVE-2026-31829Flowise - это пользовательский интерфейс перетаскивания для создания настраиваемого потока большой языковой модели. До 3.0.13 Flowise выставляет HTTP-узел в AgentFlow и Chatflow, который выполняет HTTP-запросы на стороне сервера с использованием URL-адресов, управляемых пользователем. По умолчанию нет ограничений для целевых хостов, включая частные/внутренние IP-диапазоны (RFC 1918), локостоп или конечные точки метаданных облака. Это позволяет подделке запросов на серверную сторону (SSRF), позволяя любому пользователю, взаимодействующим с общедоступным чат-потоком, заставлять сервер Flowise делать запросы на внутренние сетевые ресурсы, недоступные из общедоступного Интернета. Эта уязвимость зафиксирована в 3.0.13.
CVE-2026-30823Flowise - это пользовательский интерфейс drag & drop для создания настраиваемого потока большой языковой модели. До версии 3.0.13 существует уязвимость IDOR, что приводит к поглощению учетных данных и обходу функций предприятия через конфигурацию SSO. Этот вопрос был исправлен в версии 3.0.13.
CVE-2025-61687Flowise - это пользовательский интерфейс перетаскивания для создания настраиваемого потока большой языковой модели. Уязвимость загрузки файлов в версии 3.0.7 FlowiseAI позволяет аутентифицированным пользователям загружать произвольные файлы без надлежащей проверки. Это позволяет злоумышленникам постоянно хранить вредоносные веб-оболочки Node.js на сервере, что потенциально может привести к удаленному исполнению кода (RCE). Система не может проверять расширения файлов, типы MIME или содержимое файла во время загрузки. В результате вредоносные скрипты, такие как веб-оболочки на основе Node.js, могут постоянно загружаться и храниться на сервере. Эти оболочки обнажают конечные точки HTTP, способные выполнять произвольные команды при срабатывании. Загруженная оболочка не выполняет автоматически, но ее присутствие позволяет использовать в будущем с помощью ошибки администратора или цепных уязвимостей. Это представляет собой угрозу высокой степени выраженности для целостности и конфиденциальности системы. На момент публикации не имеется известных исправленных версий.
CVE-2026-46444Flowise - это пользовательский интерфейс перетаскивания для создания настраиваемого потока большой языковой модели. До версии 3.1.2 все конечные точки CRUD для OpenAI Assistants Vector Store не имеют промежуточного программного обеспечения для аутентификации, а путь маршрута /api/v1/openai-assistants-vector-store не указан в WHITELIST_URLS. Тем не менее, он также не защищен основным промежуточным программным обеспечением при доступе через ключ API — маршрут требует ключа API (не белого списка), но никаких проверок разрешений не существует на какой-либо операции. Этот вопрос был исправлен в версии 3.1.2.
CVE-2026-41278Flowise - это пользовательский интерфейс drag & drop для создания настраиваемого потока большой языковой модели. До 3.1,0, GET /api/v1/public-chatflows/:id конечная точка возвращает полный объект чат-потока без санации для публичных чат-потоков. Валида Docker показала, что это хуже, чем первоначально оценивалось: функция дезинфекции FlowDataForPublicEndpoint не существует в выпущенном изображении докера v3.0.13. Как публичные чат-троллы, так и публичные чат-контакты возвращают полностью необработанные данные потока, идентификаторы учетных данных, открытые ключи API и поля типа пароля. Эта уязвимость фиксируется в 3.1.0.
CVE-2026-30820Flowise - это пользовательский интерфейс drag & drop для создания настраиваемого потока большой языковой модели. До версии 3.0.13 Flowise доверяет любому HTTP-клиенту, который устанавливает заголовок x-запрос-из: внутреннего, позволяя аутентифицированному сеансу арендатора обходить все проверки авторизации /api/v1/**. Имея только файл cookie браузера, арендатор с низкой привилегией может вызывать внутренние конечные точки администрирования (управление ключами AP, учетные запасы, пользовательская функция и т. Д.), Эффективно увеличивая привилегию. Этот вопрос был исправлен в версии 3.0.13.
CVE-2025-34267Flowise v3.0.1 < 3.0.8 и все версии после этого с включенным 'ALLOW_BUILTIN_DEP' содержат аутентифицированную уязвимость удаленного выполнения кода и выход из узел VM из-за небезопасного использования интегрированных модулей (Puppeteer и Playrright) в среде выполнения nodevm. Аутентифицированный злоумышленник, способный создавать или запускать инструмент, который использует Puppeteer/Playrright, может указать контролируемые злоумышленником двоичные пути и параметры браузера. Когда инструмент выполняется, исполняемые/параметры, управляемые атакующим нападающими, запускаются на хоста и обходят предполагаемые ограничения песочницы nodevm, что приводит к выполнению произвольного кода в контексте хоста. Эта уязвимость была неправильно назначена разработчиками в качестве дубликата CVE-2025-26319 и должна рассматриваться разработчиками в отличие от этого идентификатора.
CVE-2026-41271Flowise - это пользовательский интерфейс drag & drop для создания настраиваемого потока большой языковой модели. До 3.1,0 в компонентах FlowiseAI POST/GET API Chain существует уязвимость (SSRF), которая позволяет неаутентифицированным злоумышленникам заставлять сервер делать произвольные HTTP-запросы на внутренние и внешние системы. Вводя вредоносные шаблоны подсказок, злоумышленники могут обойти предполагаемые ограничения документации API и перенаправить запросы на конфиденциальные внутренние службы, что может привести к внутренней сетевой разведке и эксфильтрации данных. Эта уязвимость зафиксирована в 3.1.0.