CVE-2026-56271 in Flowise情報

要約

〜によって VulDB • 2026年07月12日

Flowise 3.1.0 より前のバージョン(影響を受けるバージョン: 3.0.13 およびそれ以前)は、エンタープライズ版 Passport 認証ミドルウェア (packages/server/src/enterprise/middleware/passport/index.ts) において、弱く固定されたデフォルトの JWT シークレット ('auth_token', 'refresh_token') と、デフォルトの audience および issuer の値 ('AUDIENCE', 'ISSUER') を使用しています。対応する環境変数 (JWT_AUTH_TOKEN_SECRET, JWT_REFRESH_TOKEN_SECRET, JWT_AUDIENCE, JWT_ISSUER) が設定されていない場合、アプリケーションはこれらの公に知られたデフォルト値を黙ってフォールバックするため、攻撃者は有効な JWT を偽造し、管理者を含む任意のユーザーになりすますことが可能となり、認証回避につながります。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

VulnCheck

予約する

2026年06月20日

モデレーション

承諾済み

エントリ

VDB-377863

EPSS

0.00000

アクティビティ

低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!