CVE-2026-56271 in Flowiseinfo

Zusammenfassung

von VulDB • 12.07.2026

Flowise prima della versione 3.1.0 (versioni interessate: 3.0.13 e precedenti) utilizza segreti predefiniti hardcoded deboli per i token JWT ('auth_token', 'refresh_token') nonché valori di audience e issuer predefiniti ('AUDIENCE', 'ISSUER') nel middleware di autenticazione passport enterprise (packages/server/src/enterprise/middleware/passport/index.ts). Quando le variabili d'ambiente corrispondenti (JWT_AUTH_TOKEN_SECRET, JWT_REFRESH_TOKEN_SECRET, JWT_AUDIENCE, JWT_ISSUER) non sono impostate, l'applicazione passa silenziosamente a questi valori predefiniti di pubblico dominio, consentendo a un attaccante di falsificare token JWT validi e impersonare qualsiasi utente, inclusi gli amministratori, con conseguente elusione dell'autenticazione.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

VulnCheck

Reservieren

20.06.2026

Veröffentlichung

12.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377863

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!