CVE-2026-41276 in Flowiseinformação

Sumário

de VulDB • 02/06/2026

O Flowise é uma interface de usuário do tipo "arrastar e soltar" para construir fluxos personalizados de modelos de linguagem de grande escala (LLM). Antes da versão 3.1.0, esta vulnerabilidade permite que atacantes remotos contornem a autenticação em instalações afetadas do FlowiseAI Flowise. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no método `resetPassword` da classe `AccountService`. Não há verificação realizada para garantir que um token de redefinição de senha tenha sido realmente gerado para uma conta de usuário. Por padrão, o valor do token de redefinição armazenado na conta de um usuário é `null`, ou uma string vazia se ele já tiver redefinido sua senha anteriormente. Um atacante com conhecimento do endereço de e-mail do usuário pode enviar uma solicitação ao endpoint `/api/v1/account/reset-password` contendo um valor de token de redefinição `null` ou vazio e redefinir a senha desse usuário para um valor de sua escolha. Esta vulnerabilidade foi corrigida na versão 3.1.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

18/04/2026

Divulgação

23/04/2026

Moderação

aceite

Entrada

VDB-359216

CPE

pronto

EPSS

0.00540

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41276
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41276
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41276/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!