CVE-2026-56271 in Flowiseالمعلومات

الملخص

بحسب VulDB • 12/07/2026

تستخدم Flowise قبل الإصدار 3.1.0 (الإصدارات المتأثرة هي 3.0.13 والإصدارات الأقدم) أسراراً افتراضية لـ JWT ضعيفة وثابتة في الكود ('auth_token', 'refresh_token') وقيم جمهور وإصدر افتراضية ('AUDIENCE', 'ISSUER') في وسيط المصادقة الخاص بـ Enterprise Passport (الملف packages/server/src/enterprise/middleware/passport/index.ts). عندما لا تكون متغيرات البيئة المقابلة (JWT_AUTH_TOKEN_SECRET, JWT_REFRESH_TOKEN_SECRET, JWT_AUDIENCE, JWT_ISSUER) محددة، فإن التطبيق ينتقل بصمت إلى هذه القيم الافتراضية المعروفة علناً، مما يتيح للمهاجم تزوير توكنات JWT صالحة والتظاهر بأي مستخدم، بما في ذلك المسؤولون، ما يؤدي إلى تجاوز المصادقة.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

VulnCheck

حجز

20/06/2026

إفشاء

12/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377863

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!