V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-41276
CVE
Высокий

Flowise - это пользовательский интерфейс для создания настраиваемого потока большой языковой модели. До 3.1,0, эта уязвимость позволяет уда…

CVSS
7.7
Высокий
EPSS
0.07
p93
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Flowise - это пользовательский интерфейс для создания настраиваемого потока большой языковой модели. До 3.1,0, эта уязвимость позволяет удаленным злоумышленникам обходить аутентификацию на затронутых установках FlowiseAI Flowise. Аутентификация не требуется для использования этой уязвимости. Удельный недостаток существует в методе resetPassword класса AccountService. Не существует проверки, чтобы убедиться, что токен сброса пароля действительно был сгенерирован для учетной записи пользователя. По умолчанию значение токена сброса, хранящегося в учетной записи пользователя, является нулевой, или пустой строкой, если они сбросили свой пароль раньше. Злоумышленник, знакомый с адресом электронной почты пользователя, может отправить запрос на конечную точку "/api/v1/account/reset-password", содержащую нулевой или пустой строку, сбросить токен-столон и сбросить пароль этого пользователя к выберемому значению. Эта уязвимость фиксируется в пункте 3.1.0.

Теги · CWE
Без аутентификации
CWE-287
CAPEC-22
CAPEC-57
CAPEC-94
CAPEC-114
CAPEC-115
CAPEC-151
CAPEC-194
CAPEC-593
CAPEC-633
CAPEC-650
Затронутые продукты
Flowise < 3.1.0
Вектор CVSS
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требования к атаке
AT: P
Present
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: P
Passive
Конфиденциальность уязвимой системы
VC: H
Высокое (H)
Целостность уязвимой системы
VI: H
Высокое (H)
Доступность уязвимой системы
VA: H
Высокое (H)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.069 · p93
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
flowise*Отслеживается