Flowise - 通过缺失的聊天流 ID 验证实现任意文件访问 漏洞概述 Flowise 在 3.0.6 之前的版本(受影响版本 2.2.8 及更早版本)存在任意文件访问漏洞,原因是缺少对 和 参数的验证,这些参数应为 UUID 或数字。攻击者可以通过提供路径遍历值(例如 )作为 ,利用 端点(通过 )写入任意文件,以及利用 和 端点(通过 )读取任意文件。任意文件写入可能导致远程代码执行。 影响范围 Flowise >= 0, < 3.0.6 修复方案 升级到 Flowise 3.0.6 或更高版本。 参考链接 GitHub Security Advisory GitHub Commit 1 GitHub Commit 2 其他信息 严重性: 关键 日期: 2026年6月25日 CVE: CVE-2025-71334 CWE: CWE-73 外部控制文件名或路径 CVSS: 9.3 CVSS V4 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 信用: rp1e9