CVE-2026-41271 in Flowise
要約
〜によって VulDB • 2026年05月12日
Flowiseは、カスタマイズされた大規模言語モデル(LLM)フローを構築するためのドラッグ&ドロップ型ユーザーインターフェースです。バージョン3.1.0より前では、FlowiseAIのPOST/GET API ChainコンポーネントにServer-Side Request Forgery (SSRF) の脆弱性が存在し、認証されていない攻撃者がサーバーに対して内部および外部システムへの任意のHTTPリクエストを実行させることができます。悪意のあるプロンプトテンプレートを注入することで、攻撃者は意図されたAPIドキュメントの制約を回避し、リクエストを機密性の高い内部サービスにリダイレクトすることが可能となり、内部ネットワークの偵察やデータ漏洩につながる可能性があります。この脆弱性はバージョン3.1.0で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.