CVE-2026-41277 in Flowiseinformación

Resumen

por VulDB • 2026-05-25

Flowise es una interfaz de usuario de arrastrar y soltar para construir un flujo personalizado de modelos de lenguaje grandes. Antes de la versión 3.1.0, una vulnerabilidad de Asignación Masiva en el punto de creación de DocumentStore permite a los usuarios autenticados controlar la clave primaria (id) y los campos de estado interno de las entidades DocumentStore. Dado que el servicio utiliza repository.save() con una clave primaria proporcionada por el cliente, el punto de creación POST se comporta como una operación UPSERT implícita. Esto permite sobrescribir objetos DocumentStore existentes. En implementaciones multi-espacio de trabajo o multiinquilino, esto puede provocar la toma de control de objetos entre espacios de trabajo y una autorización a nivel de objeto rota (IDOR), permitiendo a un atacante reasignar o modificar objetos DocumentStore pertenecientes a otros espacios de trabajo. Esta vulnerabilidad está corregida en la versión 3.1.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-18

Divulgación

2026-04-23

Moderación

aceptado

Artículo

VDB-359220

CPE

listo

CWE

CWE-284 (confirmado)

CVSS

6.3 (VulDB)

EPSS

0.00321

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41277
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41277
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41277/

◂ Anterior Visión De Conjunto Próximo ▸

Want to know what is going to be exploited?

We predict KEV entries!