关键信息 漏洞概述 漏洞类型: Critical Multi-Tenant Variable Disclosure in Flowise Cloud via Custom JavaScript Function CVE ID: CVE-2023-59454 CVSS 评分: 8.6/10 (Critical) 发现者: HenryHengZJ 发布时间: 2周前 影响范围 受影响版本: cloud-hosted (as of July 2025) 修复版本: cloud-hosted (as of Aug 2025) 描述 问题描述: 在Flowise Cloud中,通过Custom JavaScript Function节点,任何用户都可以访问其他租户的敏感环境变量,包括OpenAI API密钥、AWS凭证、Supabase令牌和Google Cloud密钥,导致全平台的数据泄露。 细节 漏洞位置: 端点 攻击方式: 使用Custom JavaScript Function节点时, 对象被注入到执行上下文中,包含所有租户的环境变量。 示例Payload: 影响 凭证泄露 滥用付费第三方APIs 访问内部数据库URLs 潜在的横向移动或用户数据泄露 推荐措施 紧急修复和撤销泄露的凭据。