CVE-2026-41277 in Flowiseinfo

Zusammenfassung

von VulDB • 30.05.2026

Flowise ist eine Drag-and-Drop-Benutzeroberfläche zum Erstellen eines maßgeschneiderten Large Language Model-Flows. Vor Version 3.1.0 ermöglicht eine Mass Assignment-Schwachstelle im DocumentStore-Erstellungsendpunkt authentifizierten Benutzern, die Primärschlüsselfelder (id) und internen Statusfelder von DocumentStore-Entitäten zu steuern. Da der Dienst repository.save() mit einem vom Client bereitgestellten Primärschlüssel verwendet, verhält sich der POST-Erstellungsendpunkt als implizite UPSERT-Operation. Dies ermöglicht das Überschreiben vorhandener DocumentStore-Objekte. In Multi-Workspace- oder Multi-Tenant-Bereitstellungen kann dies zu einer Übernahme von Objekten über Workspaces hinweg und zu einer gebrochenen objektbezogenen Autorisierung (IDOR) führen, wodurch ein Angreifer DocumentStore-Objekte, die anderen Workspaces gehören, neu zuweisen oder ändern kann. Diese Schwachstelle wurde in Version 3.1.0 behoben.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

18.04.2026

Veröffentlichung

23.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359220

CPE

bereit

EPSS

0.00321

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41277
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41277
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41277/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!