CVE-2026-41276 in Flowise
요약
\~에 의해 VulDB • 2026. 06. 02.
Flowise는 맞춤형 대규모 언어 모델(Large Language Model) 플로우를 구축하기 위한 드래그 앤 드롭 사용자 인터페이스입니다. 3.1.0 버전 이전의 FlowiseAI Flowise에서는 이 취약점으로 인해 원격 공격자가 인증을 우회할 수 있습니다. 이 취약점을 악용하기 위해서는 인증이 필요하지 않습니다. 구체적인 결함은 AccountService 클래스의 resetPassword 메서드에 존재합니다. 사용자 계정에 대해 실제로 비밀번호 재설정 토큰이 생성되었는지 확인하는 검증 절차가 수행되지 않습니다. 기본적으로 사용자 계정에 저장된 재설정 토큰의 값은 null이거나, 이전에 비밀번호를 재설정했던 경우 빈 문자열입니다. 사용자의 이메일 주소를 알고 있는 공격자는 "/api/v1/account/reset-password" 엔드포인트로 null 또는 빈 문자열인 재설정 토큰 값을 포함하는 요청을 제출하여 해당 사용자의 비밀번호를 임의로 선택한 값으로 재설정할 수 있습니다. 이 취약점은 3.1.0 버전에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.