漏洞总结 漏洞概述 FlowiseAI 的公共 chatflow 端点( 和 )在返回数据时未对 进行清理,导致敏感信息(如凭证 ID、明文 API 密钥、密码等)泄露。该问题存在于已发布的 v3.0.13 版本中,而用于清理数据的函数 仅在未发布的 HEAD 版本中存在。 影响范围 受影响版本: 修复版本: 严重程度:高(CVSS v4 基础评分 8.7/10) 攻击向量:网络 影响: - 凭证 ID 泄露 → 可能导致 OAuth2 令牌窃取 - 明文 API 密钥和密码泄露 → 直接导致第三方账户被入侵 - 节点配置泄露 → 暴露内部架构和端点 URL - 两个公共端点均受影响 修复方案 对两个公共端点应用数据清理: 确保清理函数从 中移除所有 、 、 和 字段。 POC 代码 页面中提供的 POC 示例如下: