漏洞概述 在 FlowiseAI 的 端点中存在一个 Mass Assignment 漏洞,允许已认证用户直接修改受限的用户字段,包括凭证(密码哈希),从而绕过预期的密码更改工作流程。 影响范围 受影响版本:<= 3.1.1 修复版本:3.1.2 CVSS 评分:6.0 / 10 漏洞类型:CWE-915 修复方案 升级到 FlowiseAI 版本 3.1.2 或更高版本。 POC 代码 影响 该漏洞允许已认证用户绕过密码更改安全控制,包括: 当前密码验证 密码哈希强制执行 密码策略验证 密码更改时的会话失效 尽管控制器防止修改其他用户的账户,但该漏洞使攻击者在账户被攻破后能够持久化访问。 示例攻击场景 攻击者暂时获得用户的会话(XSS、令牌泄露、共享设备等)。 攻击者发送带有新密码哈希的定制更新请求。 攻击者现在永久控制该账户。 认证逻辑被绕过。 权限在攻破后持续存在。 弱账户恢复保证。