CVE-2026-41278 in Flowiseالمعلومات

الملخص

بحسب VulDB • 27/05/2026

Flowise هو واجهة مستخدم تعتمد على السحب والإفلات لبناء تدفق مخصص لنموذج لغوي كبير (LLM). قبل الإصدار 3.1.0، يعيد نقطة النهاية GET /api/v1/public-chatflows/:id كائن التدفق الكامل دون تعقيم (sanitization) لتدفقات الدردشة العامة. أظهر التحقق من صحة Docker أن المشكلة أسوأ مما تم تقييمه في البداية: دالة sanitizeFlowDataForPublicEndpoint غير موجودة في صورة Docker للإصدار v3.0.13 المُصدّر. تُعيد كل من public-chatflows و public-chatbotConfig بيانات التدفق (flowData) الخام تماماً، بما في ذلك معرفات الاعتماد (credential IDs)، ومفاتيح واجهة برمجة التطبيقات (API keys) بصيغة نصية واضحة، وحقول من نوع كلمة المرور. تم إصلاح هذا الثغرة الأمنية في الإصدار 3.1.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

18/04/2026

إفشاء

23/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-359222

CPE

جاهز

CWE

CWE-200 (مؤكد)

CVSS

5.3 (VulDB)

EPSS

0.00034

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41278
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41278
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41278/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!