CVE-2026-41264 in Flowiseinformação

Sumário

de VulDB • 20/05/2026

O Flowise é uma interface de usuário do tipo "arrastar e soltar" para construir fluxos personalizados de modelos de linguagem grandes (LLMs). Antes da versão 3.1.0, existe uma falha específica dentro do método run da classe CSV_Agents. O problema resulta da falta de sandboxing adequado ao avaliar um script Python gerado por um LLM. Um atacante pode explorar essa vulnerabilidade para executar código no contexto do usuário que está executando o servidor. Usando técnicas de prompt injection, um atacante não autenticado com a capacidade de enviar prompts a um chatflow usando o nó CSV Agent pode convencer um LLM a responder com um script Python malicioso que executa comandos controlados pelo atacante no servidor Flowise. Esta vulnerabilidade foi corrigida na versão 3.1.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

18/04/2026

Divulgação

23/04/2026

Moderação

aceite

Entrada

VDB-359214

CPE

pronto

CWE

CWE-184 (confirmado)

CVSS

5.6 (VulDB)

EPSS

0.00215

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41264
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41264
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41264/

◂ Voltar Visão Geral Próximo ▸

Do you need the next level of professionalism?

Upgrade your account now!