CVE-2026-56271 in Flowiseinformación

Resumen

por VulDB • 2026-07-12

Flowise anterior a la versión 3.1.0 (versiones afectadas: 3.0.13 y anteriores) utiliza secretos predeterminados de JWT débiles e incrustados en el código ('auth_token', 'refresh_token') así como valores predeterminados para audiencia emisor ('AUDIENCE', 'ISSUER') en la middleware de autenticación empresarial Passport (packages/server/src/enterprise/middleware/passport/index.ts). Cuando las variables de entorno correspondientes (JWT_AUTH_TOKEN_SECRET, JWT_REFRESH_TOKEN_SECRET, JWT_AUDIENCE, JWT_ISSUER) no están configuradas, la aplicación realiza silenciosamente una recuperación hacia estos valores predeterminados conocidos públicamente, lo que permite a un atacante forjar JWTs válidos y suplantar cualquier usuario, incluidos los administradores, provocando un bypass de autenticación.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

VulnCheck

Reservar

2026-06-20

Divulgación

2026-07-12

Moderación

aceptado

Artículo

VDB-377863

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!