漏洞总结:Sensitive Data Leak in public-chatbotConfig 漏洞概述 漏洞名称:Sensitive Data Leak in public-chatbotConfig CVE ID:CVE-2024-47266 CVSS 评分:7.7 / 10 (High) 描述: 端点暴露了敏感数据,包括 API 密钥、HTTP 授权头和内部配置,且无需身份验证。攻击者只需知道 chatflow UUID 即可从存储在密码类型字段和 HTTP 头中的凭据中窃取凭据。 影响范围 受影响版本: 修复版本: 影响用户:所有使用 chatflows 包含密码类型字段或任何 HTTP 头的 Flowise Cloud 用户,以及暴露在互联网上的自托管 Flowise 实例。 修复方案 升级版本:升级到 或更高版本。 POC 代码 响应示例