CVE-2026-41264 in Flowise
요약
\~에 의해 VulDB • 2026. 05. 09.
Flowise는 맞춤형 대규모 언어 모델(Large Language Model, LLM) 플로우를 구축하기 위한 드래그 앤 드롭 사용자 인터페이스입니다. 버전 3.1.0 이전에서는 CSV_Agents 클래스의 run 메서드 내에서 특정 결함이 존재합니다. 이 문제는 LLM에서 생성된 Python 스크립트를 평가할 때 적절한 샌드박싱이 이루어지지 않아 발생합니다. 공격자는 이 취약점을 활용하여 서버를 실행 중인 사용자의 컨텍스트에서 코드를 실행할 수 있습니다. 프롬프트 인젝션 기법을 사용하여 CSV 에이전트 노드를 통해 채팅 플로우에 프롬프트를 보낼 수 있는 비인증 공격자는 LLM을 속여 악성 Python 스크립트를 응답하도록 유도할 수 있으며, 이 스크립트는 Flowise 서버에서 공격자가 제어하는 명령을 실행합니다. 이 취약점은 버전 3.1.0에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.