CVE-2025-71334
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 54 — wyżej niż 54% wszystkich znanych CVE
Streszczenie
Flowise przed wersją 3.0.6 (dotknięte wersje 2.2.8 i wcześniejsze) zawiera podatność na dowolny dostęp do plików z powodu braku walidacji, czy parametry chatflowId i chatId są UUID lub liczbami w operacjach na plikach. Poprzez podanie wartości typu path traversal (np. '../../../../../tmp') jako identyfikatora chatflow, nieuwierzytelniony atakujący może użyć endpointu /api/v1/chatflows (poprzez addBase64FilesToStorage) do zapisu dowolnych plików oraz endpointów /api/v1/get-upload-file i /api/v1/openai-assistants-file/download (poprzez streamStorageFile) do odczytu dowolnych plików. Dowolny zapis plików może prowadzić do zdalnego wykonania kodu.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość nieautoryzowanego odczytu wrażliwych plików systemowych oraz zapisu złośliwych plików, co może skutkować przejęciem kontroli nad serwerem i eskalacją uprawnień.
Rekomendacja
Należy natychmiast zaktualizować Flowise do wersji 3.0.6 lub nowszej, która zawiera poprawki walidacji parametrów. Do czasu aktualizacji zaleca się ograniczenie dostępu do endpointów API za pomocą zapory sieciowej lub list kontroli dostępu.
Oryginalny opis (angielski, źródło NVD)
Flowise before 3.0.6 (affected versions 2.2.8 and earlier) contains an arbitrary file access vulnerability due to missing validation that the chatflowId and chatId parameters are UUIDs or numbers in file handling operations. By supplying a path-traversal value (e.g., '../../../../../tmp') as the chatflow id, an unauthenticated attacker can use the /api/v1/chatflows endpoint (via addBase64FilesToStorage) to write arbitrary files, and the /api/v1/get-upload-file and /api/v1/openai-assistants-file/download endpoints (via streamStorageFile) to read arbitrary files. Arbitrary file write may lead to remote code execution.

