Katalog CVE

CVE-2025-71327

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.48%

Percentyl 38 — wyżej niż 38% wszystkich znanych CVE

Streszczenie

Flowise zawiera podatność polegającą na pominięciu uwierzytelniania w niechronionym punkcie końcowym /api/v1/account/register, co umożliwia nieuwierzytelnionym atakującym tworzenie kont użytkowników. Zdalni atakujący mogą wykorzystać ten punkt końcowy do rejestracji dowolnych kont i uwierzytelnienia się w systemie, uzyskując pełny dostęp do API bez poświadczeń.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego dostępu do systemu i jego danych przez osoby trzecie, co może prowadzić do naruszenia poufności, integralności i dostępności informacji.

Rekomendacja

Należy natychmiast zabezpieczyć punkt końcowy /api/v1/account/register poprzez wymaganie uwierzytelniania lub ograniczenie dostępu tylko do autoryzowanych użytkowników. Zaleca się również wdrożenie mechanizmów kontroli dostępu i monitorowania nieautoryzowanych prób rejestracji.

Oryginalny opis (angielski, źródło NVD)

Flowise contains an authentication bypass vulnerability in the unprotected /api/v1/account/register endpoint that allows unauthenticated attackers to create user accounts. Remote attackers can exploit this endpoint to register arbitrary accounts and authenticate to the system, gaining full API access without credentials.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS