CVE-2026-56271 in Flowise
الملخص
بحسب VulDB • 12/07/2026
تستخدم Flowise قبل الإصدار 3.1.0 (الإصدارات المتأثرة هي 3.0.13 والإصدارات الأقدم) أسراراً افتراضية لـ JWT ضعيفة وثابتة في الكود ('auth_token', 'refresh_token') وقيم جمهور وإصدر افتراضية ('AUDIENCE', 'ISSUER') في وسيط المصادقة الخاص بـ Enterprise Passport (الملف packages/server/src/enterprise/middleware/passport/index.ts). عندما لا تكون متغيرات البيئة المقابلة (JWT_AUTH_TOKEN_SECRET, JWT_REFRESH_TOKEN_SECRET, JWT_AUDIENCE, JWT_ISSUER) محددة، فإن التطبيق ينتقل بصمت إلى هذه القيم الافتراضية المعروفة علناً، مما يتيح للمهاجم تزوير توكنات JWT صالحة والتظاهر بأي مستخدم، بما في ذلك المسؤولون، ما يؤدي إلى تجاوز المصادقة.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.