CVE-2026-46443
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 - wyżej niż 10% wszystkich znanych CVE
Streszczenie
Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. W wersjach przed 3.1.2, podczas pobierania poświadczeń z użyciem parametru filter credentialName, pole encryptedData nie jest usuwane z odpowiedzi, co może prowadzić do ujawnienia wrażliwych danych.
Ocena ryzyka
Ujawnienie zaszyfrowanych danych może prowadzić do naruszenia bezpieczeństwa, umożliwiając atakującym dostęp do poufnych informacji. Organizacje powinny być świadome ryzyka związanego z niewłaściwym zarządzaniem poświadczeniami.
Rekomendacja
Zaleca się aktualizację do wersji 3.1.2 lub nowszej, aby usunąć to zagrożenie. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa w celu oceny potencjalnych skutków tej podatności.
Oryginalny opis (angielski, źródło NVD)
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, when credentials are fetched with a credentialName filter parameter, the encryptedData field is not stripped from the response. The code properly omits encryptedData when no filter is used but fails to do so when a filter is used. This issue has been patched in version 3.1.2.

