CVE-2026-41276 in Flowiseinformación

Resumen

por VulDB • 2026-06-02

Flowise es una interfaz de usuario de arrastrar y soltar para construir un flujo personalizado de modelos de lenguaje grandes. Antes de la versión 3.1.0, esta vulnerabilidad permite a atacantes remotos eludir la autenticación en las instalaciones afectadas de FlowiseAI Flowise. No se requiere autenticación para explotar esta vulnerabilidad. La vulnerabilidad específica existe dentro del método resetPassword de la clase AccountService. No se realiza ninguna comprobación para asegurar que un token de restablecimiento de contraseña haya sido realmente generado para una cuenta de usuario. Por defecto, el valor del token de restablecimiento almacenado en la cuenta de un usuario es null, o una cadena vacía si han restablecido su contraseña anteriormente. Un atacante con conocimiento de la dirección de correo electrónico del usuario puede enviar una solicitud al endpoint "/api/v1/account/reset-password" que contenga un valor de token de restablecimiento null o una cadena vacía, y restablecer la contraseña de ese usuario a un valor de su elección. Esta vulnerabilidad está corregida en la versión 3.1.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-18

Divulgación

2026-04-23

Moderación

aceptado

Artículo

VDB-359216

CPE

listo

EPSS

0.00732

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41276
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41276
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41276/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!