目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-41273— Flowise 访问控制错误漏洞

AI Predicted 9.1 Difficulty: Easy EPSS 0.31% · P23

Possible ATT&CK Techniques 1AI

T1552.004 · Private Keys
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-41273の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Flowise: Unauthenticated OAuth 2.0 Access Token Disclosure via Public Chatflow
ソース: NVD (National Vulnerability Database)
脆弱性説明
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, Flowise contains an authentication bypass vulnerability that allows an unauthenticated attacker to obtain OAuth 2.0 access tokens associated with a public chatflow. By accessing a public chatflow configuration endpoint, an attacker can retrieve internal workflow data, including OAuth credential identifiers, which can then be used to refresh and obtain valid OAuth 2.0 access tokens without authentication. This vulnerability is fixed in 3.1.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
关键功能的认证机制缺失
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Flowise 访问控制错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Flowise是FlowiseAI开源的一个用于轻松构建 LLM 应用程序的工具。 Flowise 3.1.0之前版本存在访问控制错误漏洞,该漏洞源于认证绕过漏洞,允许未经身份验证的攻击者获取与公共聊天流关联的OAuth 2.0访问令牌。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
FlowiseAIFlowise < 3.1.0 -

II. CVE-2026-41273の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-41273のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-41273 厂商安全公告 (1)

Same Patch Batch · FlowiseAI · 2026-04-23 · 18 CVEs total

CVE-2026-412678.1 HIGHFlowise: Improper Mass Assignment in Account Registration Enables Unauthorized Organizatio
CVE-2026-412727.1 HIGHFlowise: SSRF Protection Bypass (TOCTOU & Default Insecure)
CVE-2026-412707.1 HIGHFlowise: SSRF Protection Bypass via Unprotected Built-in HTTP Modules in Custom Function S
CVE-2026-412697.1 HIGHFlowise: File Upload Validation Bypass in createAttachment
CVE-2026-41268Flowise: Flowise Parameter Override Bypass Remote Command Execution
CVE-2026-41274Flowise: Cypher Injection in GraphCypherQAChain
CVE-2026-41277Flowise: Mass Assignment in DocumentStore Create Endpoint Leads to Cross-Workspace Object
CVE-2026-41264Flowise: CSV Agent Prompt Injection Remote Code Execution Vulnerability
CVE-2026-41137Flowise: Code Injection in CSVAgent leads to Authenticated RCE
CVE-2026-41138Flowise: Remote code execution vulnerability in AirtableAgent.ts caused by lack of input v
CVE-2026-41279Flowise: Unauthenticated TTS endpoint accepts arbitrary credential IDs — enables API credi
CVE-2026-41278Flowise: Public chatflow endpoints return unsanitized flowData including plaintext API key
CVE-2026-41275Flowise: Password Reset Link Sent Over Unsecured HTTP
CVE-2026-41265Flowise: Airtable_Agent Code Injection Remote Code Execution Vulnerability
CVE-2026-41266Flowise: Sensitive Data Leak in public-chatbotConfig
CVE-2026-41276Flowise: AccountService resetPassword Authentication Bypass Vulnerability
CVE-2026-41271Flowise: APIChain Prompt Injection SSRF in GET/POST API Chains

IV. 関連脆弱性

V. CVE-2026-41273へのコメント

まだコメントはありません


コメントを残す