CVE-2026-41276 in Flowiseinfo

Zusammenfassung

von VulDB • 02.06.2026

Flowise ist eine Drag-and-Drop-Benutzeroberfläche zum Erstellen eines benutzerdefinierten Large Language Model-Flows. Vor Version 3.1.0 ermöglicht diese Schwachstelle Remoteangreifern, die Authentifizierung auf betroffenen Installationen von FlowiseAI Flowise zu umgehen. Für die Ausnutzung dieser Schwachstelle ist keine Authentifizierung erforderlich. Der spezifische Fehler befindet sich in der Methode „resetPassword“ der Klasse „AccountService“. Es wird keine Prüfung durchgeführt, um sicherzustellen, dass tatsächlich ein Passwort-Reset-Token für ein Benutzerkonto generiert wurde. Standardmäßig ist der Wert des im Benutzerkonto gespeicherten Reset-Tokens null oder eine leere Zeichenkette, falls das Passwort zuvor bereits zurückgesetzt wurde. Ein Angreifer, der die E-Mail-Adresse des Benutzers kennt, kann eine Anfrage an den Endpunkt „/api/v1/account/reset-password“ senden, die einen Reset-Token-Wert von null oder einer leeren Zeichenkette enthält, und damit das Passwort dieses Benutzers auf einen von ihm gewählten Wert zurücksetzen. Diese Schwachstelle wurde in Version 3.1.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

18.04.2026

Veröffentlichung

23.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359216

CPE

bereit

EPSS

0.00732

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41276
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41276
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41276/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!