Katalog CVE

CVE-2025-71334

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.86%

Percentyl 54 — wyżej niż 54% wszystkich znanych CVE

Streszczenie

Flowise przed wersją 3.0.6 (dotknięte wersje 2.2.8 i wcześniejsze) zawiera podatność na dowolny dostęp do plików z powodu braku walidacji, czy parametry chatflowId i chatId są UUID lub liczbami w operacjach na plikach. Poprzez podanie wartości typu path traversal (np. '../../../../../tmp') jako identyfikatora chatflow, nieuwierzytelniony atakujący może użyć endpointu /api/v1/chatflows (poprzez addBase64FilesToStorage) do zapisu dowolnych plików oraz endpointów /api/v1/get-upload-file i /api/v1/openai-assistants-file/download (poprzez streamStorageFile) do odczytu dowolnych plików. Dowolny zapis plików może prowadzić do zdalnego wykonania kodu.

Ocena ryzyka

Ryzyko dla organizacji obejmuje możliwość nieautoryzowanego odczytu wrażliwych plików systemowych oraz zapisu złośliwych plików, co może skutkować przejęciem kontroli nad serwerem i eskalacją uprawnień.

Rekomendacja

Należy natychmiast zaktualizować Flowise do wersji 3.0.6 lub nowszej, która zawiera poprawki walidacji parametrów. Do czasu aktualizacji zaleca się ograniczenie dostępu do endpointów API za pomocą zapory sieciowej lub list kontroli dostępu.

Oryginalny opis (angielski, źródło NVD)

Flowise before 3.0.6 (affected versions 2.2.8 and earlier) contains an arbitrary file access vulnerability due to missing validation that the chatflowId and chatId parameters are UUIDs or numbers in file handling operations. By supplying a path-traversal value (e.g., '../../../../../tmp') as the chatflow id, an unauthenticated attacker can use the /api/v1/chatflows endpoint (via addBase64FilesToStorage) to write arbitrary files, and the /api/v1/get-upload-file and /api/v1/openai-assistants-file/download endpoints (via streamStorageFile) to read arbitrary files. Arbitrary file write may lead to remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS