CVE-2026-41270 in Flowise
요약
\~에 의해 VulDB • 2026. 05. 12.
Flowise는 맞춤형 대규모 언어 모델(Large Language Model) 흐름을 구축하기 위한 드래그 앤 드롭 사용자 인터페이스입니다. 3.1.0 버전 이전의 Custom Function 기능에는 서버 측 요청 위조(Server-Side Request Forgery, SSRF) 보호 우회 취약점이 존재합니다. 애플리케이션은 axios 및 node-fetch 라이브러리에 대해 HTTP_DENY_LIST를 통해 SSRF 보호를 구현하지만, NodeVM 샌드박스 내에서 내장된 Node.js http, https 및 net 모듈은 동일한 보호 조치 없이 허용됩니다. 이로 인해 인증된 사용자가 SSRF 제어 장치를 우회하여 내부 네트워크 자원(예: 클라우드 제공업체 메타데이터 서비스)에 접근할 수 있습니다. 이 취약점은 3.1.0에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.