Katalog CVE

CVE-2025-71332

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

Flowise do wersji 2.2.7 zawiera podatność na wstrzykiwanie SQL w API importChatflows. Z powodu niewystarczającej walidacji wartości chatflow.id, uwierzytelniony użytkownik może dostarczyć spreparowany plik JSON, którego pole id jest łączone bez sanityzacji z klauzulą SQL IN, umożliwiając wykonanie dowolnego kodu SQL, w tym ślepe i oparte na błędach wydobycie danych z tabeli credential.

Ocena ryzyka

Ryzyko polega na możliwości kradzieży wrażliwych danych uwierzytelniających (credential) przez uwierzytelnionego atakującego, co może prowadzić do eskalacji uprawnień i przejęcia kontroli nad systemem.

Rekomendacja

Należy natychmiast zaktualizować Flowise do wersji 2.2.8 lub nowszej, która zawiera poprawkę usuwającą podatność. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do API importChatflows tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Flowise through 2.2.7 contains a SQL injection vulnerability in the importChatflows API. Due to insufficient validation of the chatflow.id value, an authenticated user can supply a crafted JSON import file whose id field is concatenated unsanitized into a SQL IN clause, allowing arbitrary SQL to be executed, including blind and error-based extraction of data from the credential table.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS