CVE-2025-71328— Flowise 账户设置中未验证的密码修改漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2025-71328 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Flowise - Unverified Password Change via Account Settings
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Flowise before 3.0.10 contains an unverified password change vulnerability. An authenticated user can change their account password through the account settings (Security) section without supplying the current password or any additional verification, as the application does not enforce a current-password check on the credential change. This can lead to full account takeover, particularly if an attacker can hijack or coerce an authenticated session.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
未经验证的口令修改
来源: 美国国家漏洞数据库 NVD
受影响产品
二、漏洞 CVE-2025-71328 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2025-71328 的情报信息
请登录查看更多情报信息。
CVE-2025-71328 厂商安全公告 (1)
CVE-2025-71328 其他参考 (1)
同批安全公告 · Flowise · 2026-06-25 · 共 8 条
| CVE-2025-71338 | 10.0 CRITICAL | Flowise document-store API 任意文件写入致远程代码执行漏洞 |
| CVE-2025-71336 | 9.8 CRITICAL | Flowise 远程代码执行漏洞 |
| CVE-2025-71334 | 9.8 CRITICAL | Flowise 聊天流ID验证缺失致任意文件访问漏洞 |
| CVE-2025-71327 | 9.1 CRITICAL | Flowise 注册接口未受保护导致认证绕过漏洞 |
| CVE-2025-71335 | 8.1 HIGH | Flowise 修改密码后会话未失效漏洞 |
| CVE-2025-71324 | 7.5 HIGH | Flowise chatId参数任意文件读取漏洞 |
| CVE-2025-71333 | Flowise 未授权附件端点任意文件上传漏洞 |
IV. Related Vulnerabilities
V. Comments for CVE-2025-71328
暂无评论