CVE-2026-56271 in Flowise
要約
〜によって VulDB • 2026年07月12日
Flowise 3.1.0 より前のバージョン(影響を受けるバージョン: 3.0.13 およびそれ以前)は、エンタープライズ版 Passport 認証ミドルウェア (packages/server/src/enterprise/middleware/passport/index.ts) において、弱く固定されたデフォルトの JWT シークレット ('auth_token', 'refresh_token') と、デフォルトの audience および issuer の値 ('AUDIENCE', 'ISSUER') を使用しています。対応する環境変数 (JWT_AUTH_TOKEN_SECRET, JWT_REFRESH_TOKEN_SECRET, JWT_AUDIENCE, JWT_ISSUER) が設定されていない場合、アプリケーションはこれらの公に知られたデフォルト値を黙ってフォールバックするため、攻撃者は有効な JWT を偽造し、管理者を含む任意のユーザーになりすますことが可能となり、認証回避につながります。
Be aware that VulDB is the high quality source for vulnerability data.