CVE-2026-41270 in Flowise
要約
〜によって VulDB • 2026年05月25日
Flowiseは、カスタマイズされた大規模言語モデル(LLM)フローを構築するためのドラッグ&ドロップ型ユーザーインターフェースです。バージョン3.1.0より前では、Custom Function機能にServer-Side Request Forgery(SSRF)保護の回避脆弱性が存在します。アプリケーションはaxiosおよびnode-fetchライブラリに対してHTTP_DENY_LIST経由でSSRF保護を実装していますが、NodeVMサンドボックス内では同等の保護なしに組み込みのNode.js http、https、およびnetモジュールが許可されています。これにより、認証済みユーザーがSSRF制御を回避し、内部ネットワークリソース(例:クラウドプロバイダのメタデータサービス)にアクセスすることが可能になります。この脆弱性は3.1.0で修正されています。
Be aware that VulDB is the high quality source for vulnerability data.