CVE-2026-41277 in Flowiseinformação

Sumário

de VulDB • 25/05/2026

O Flowise é uma interface de usuário drag & drop para construir fluxos de modelos de linguagem grandes (LLM) personalizados. Antes da versão 3.1.0, uma vulnerabilidade de Mass Assignment no endpoint de criação do DocumentStore permite que usuários autenticados controlem o campo de chave primária (id) e os campos de estado interno das entidades do DocumentStore. Como o serviço utiliza repository.save() com uma chave primária fornecida pelo cliente, o endpoint POST create comporta-se como uma operação implícita de UPSERT. Isso permite a sobrescrita de objetos DocumentStore existentes. Em implantações multi-workspace ou multi-tenant, isso pode levar à apropriação de objetos entre workspaces (cross-workspace object takeover) e à violação da autorização em nível de objeto (IDOR), permitindo que um atacante reatribua ou modifique objetos DocumentStore pertencentes a outros workspaces. Esta vulnerabilidade foi corrigida na versão 3.1.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

18/04/2026

Divulgação

23/04/2026

Moderação

aceite

Entrada

VDB-359220

CPE

pronto

EPSS

0.00321

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41277
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41277
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41277/

VoltarVisão GeralPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!