CVE-2026-41265 in Flowise
요약
\~에 의해 VulDB • 2026. 06. 02.
Flowise는 맞춤형 대규모 언어 모델(Large Language Model, LLM) 워크플로우를 구축하기 위한 드래그 앤 드롭 사용자 인터페이스입니다. 버전 3.1.0 이전에서는 Airtable_Agents 클래스의 run 메서드 내에서 특정 결함이 존재합니다. 이 문제는 LLM이 생성한 Python 스크립트를 평가할 때 적절한 샌드박싱 처리가 이루어지지 않아 발생합니다. 프롬프트 인젝션 기법을 사용하여, Airtable Agent 노드를 통해 채팅 워크플로우에 프롬프트를 전송할 수 있는 비인증 공격자는 LLM을 속여 악의적인 Python 스크립트에 응답하도록 유도하고, 이 스크립트는 Flowise 서버에서 공격자가 제어하는 명령어를 실행합니다. 해당 취약점은 버전 3.1.0에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.