CVE-2025-71327
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 — wyżej niż 38% wszystkich znanych CVE
Streszczenie
Flowise zawiera podatność polegającą na pominięciu uwierzytelniania w niechronionym punkcie końcowym /api/v1/account/register, co umożliwia nieuwierzytelnionym atakującym tworzenie kont użytkowników. Zdalni atakujący mogą wykorzystać ten punkt końcowy do rejestracji dowolnych kont i uwierzytelnienia się w systemie, uzyskując pełny dostęp do API bez poświadczeń.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do systemu i jego danych przez osoby trzecie, co może prowadzić do naruszenia poufności, integralności i dostępności informacji.
Rekomendacja
Należy natychmiast zabezpieczyć punkt końcowy /api/v1/account/register poprzez wymaganie uwierzytelniania lub ograniczenie dostępu tylko do autoryzowanych użytkowników. Zaleca się również wdrożenie mechanizmów kontroli dostępu i monitorowania nieautoryzowanych prób rejestracji.
Oryginalny opis (angielski, źródło NVD)
Flowise contains an authentication bypass vulnerability in the unprotected /api/v1/account/register endpoint that allows unauthenticated attackers to create user accounts. Remote attackers can exploit this endpoint to register arbitrary accounts and authenticate to the system, gaining full API access without credentials.

