CVE-2026-41264 in Flowiseالمعلومات

الملخص

بحسب VulDB • 24/05/2026

Flowise هو واجهة مستخدم تعتمد على السحب والإفلات لبناء تدفق مخصص لنماذج اللغة الكبيرة (LLM). قبل الإصدار 3.1.0، يوجد عيب محدد داخل طريقة `run` في فئة `CSV_Agents`. ينتج هذا الخطأ عن عدم وجود عزل مناسب (sandboxing) عند تقييم نص برمجي مكتوب بلغة Python تم إنشاؤه بواسطة نموذج لغة كبير (LLM). يمكن للمهاجم استغلال هذه الثغرة لتنفيذ التعليمات البرمجية في سياق المستخدم الذي يشغل الخادم. باستخدام تقنيات حقن المطالبات (prompt injection)، قد يقنع مهاجم غير مصادق عليه، لديه القدرة على إرسال مطالبات إلى تدفق محادثة باستخدام عقدة وكيل CSV، نموذج اللغة الكبيرة بالاستجابة بنص برمجي ضار بلغة Python ينفذ أوامر يتحكم فيها المهاجم على خادم Flowise. تم إصلاح هذه الثغرة في الإصدار 3.1.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

18/04/2026

إفشاء

23/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-359214

CPE

جاهز

CWE

CWE-184 (مؤكد)

CVSS

5.6 (VulDB)

EPSS

0.00188

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41264
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41264
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41264/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!