CVE-2026-41276 in Flowise
Résumé
par VulDB • 02/06/2026
Flowise est une interface utilisateur de type « glisser-déposer » permettant de construire un flux personnalisé pour un grand modèle de langage (LLM). Avant la version 3.1.0, cette vulnérabilité permet aux attaquants distants de contourner l'authentification sur les installations concernées de FlowiseAI Flowise. L'authentification n'est pas requise pour exploiter cette vulnérabilité. Le défaut spécifique réside dans la méthode `resetPassword` de la classe `AccountService`. Aucune vérification n'est effectuée pour s'assurer qu'un jeton de réinitialisation de mot de passe a effectivement été généré pour un compte utilisateur. Par défaut, la valeur du jeton de réinitialisation stockée dans le compte d'un utilisateur est `null`, ou une chaîne vide s'il a déjà réinitialisé son mot de passe. Un attaquant disposant de l'adresse e-mail de l'utilisateur peut soumettre une requête au point de terminaison `/api/v1/account/reset-password` contenant une valeur de jeton de réinitialisation `null` ou vide, et réinitialiser le mot de passe de cet utilisateur à une valeur de son choix. Cette vulnérabilité est corrigée dans la version 3.1.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.