FlowiseAI 账户注册接口不当质量分配漏洞总结 漏洞概述 FlowiseAI Cloud 的账户注册端点 存在不当质量分配(JSON 注入)漏洞。攻击者可以在创建账户时注入服务器管理的字段和嵌套对象(如组织、工作区、角色等),从而绕过服务端验证,实现未授权的组织关联和权限提升。 影响范围 受影响版本:FlowiseAI npm 包版本 CVSS 评分:8.1 / 10 (High) 攻击向量:网络 影响: - 客户端控制所有权元数据、时间戳、组织关联和角色映射。 - 在多云环境中破坏信任边界。 - 允许未授权访问和权限提升。 修复方案 修复版本: POC 代码 正常注册请求 注入恶意字段请求