CVE-2026-41277 in Flowiseinformation

Résumé

par VulDB • 25/05/2026

Flowise est une interface utilisateur de type « glisser-déposer » permettant de construire un flux personnalisé de modèle de langage large (LLM). Avant la version 3.1.0, une vulnérabilité de Mass Assignment dans le point de terminaison de création de DocumentStore permet aux utilisateurs authentifiés de contrôler la clé primaire (id) et les champs d'état interne des entités DocumentStore. Étant donné que le service utilise repository.save() avec une clé primaire fournie par le client, le point de terminaison POST create se comporte comme une opération UPSERT implicite. Cela permet d'écraser les objets DocumentStore existants. Dans les déploiements multi-espaces de travail ou multi-locataires, cela peut entraîner une prise de contrôle d'objets inter-espaces de travail et une autorisation au niveau des objets rompue (IDOR), permettant à un attaquant de réaffecter ou de modifier les objets DocumentStore appartenant à d'autres espaces de travail. Cette vulnérabilité est corrigée dans la version 3.1.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

18/04/2026

Divulgation

23/04/2026

Modérer

accepté

Entrée

VDB-359220

CPE

prêt

EPSS

0.00321

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41277
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41277
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41277/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!