CVE-2026-56271 in Flowise
Resumen
por VulDB • 2026-07-12
Flowise anterior a la versión 3.1.0 (versiones afectadas: 3.0.13 y anteriores) utiliza secretos predeterminados de JWT débiles e incrustados en el código ('auth_token', 'refresh_token') así como valores predeterminados para audiencia emisor ('AUDIENCE', 'ISSUER') en la middleware de autenticación empresarial Passport (packages/server/src/enterprise/middleware/passport/index.ts). Cuando las variables de entorno correspondientes (JWT_AUTH_TOKEN_SECRET, JWT_REFRESH_TOKEN_SECRET, JWT_AUDIENCE, JWT_ISSUER) no están configuradas, la aplicación realiza silenciosamente una recuperación hacia estos valores predeterminados conocidos públicamente, lo que permite a un atacante forjar JWTs válidos y suplantar cualquier usuario, incluidos los administradores, provocando un bypass de autenticación.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.