CVE-2025-71333
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 — wyżej niż 40% wszystkich znanych CVE
Streszczenie
Flowise w wersji do 2.2.4 zawiera nieuwierzytelnioną podatność na dowolne przesyłanie plików w punkcie końcowym /api/v1/attachments, gdy storageType jest ustawiony na local. Atakujący mogą wykorzystać przejście ścieżki w parametrach chatId i chatflowId, aby przesłać złośliwe pliki do dowolnych katalogów, co może prowadzić do zdalnego wykonania kodu i przejęcia serwera.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość zdalnego wykonania kodu przez nieuwierzytelnionego atakującego, co może skutkować całkowitym przejęciem serwera i naruszeniem poufności, integralności oraz dostępności danych.
Rekomendacja
Zaleca się natychmiastową aktualizację Flowise do wersji nowszej niż 2.2.4, jeśli dostępna, lub zastosowanie tymczasowych zabezpieczeń, takich jak wyłączenie punktu końcowego /api/v1/attachments lub ograniczenie dostępu do niego za pomocą zapory sieciowej.
Oryginalny opis (angielski, źródło NVD)
Flowise through 2.2.4 contains an unauthenticated arbitrary file upload vulnerability in the /api/v1/attachments endpoint when storageType is set to local. Attackers can exploit path traversal in the chatId and chatflowId parameters to upload malicious files to arbitrary directories, potentially enabling remote code execution and server compromise.

