CVE-2026-56271 in Flowiseinformação

Sumário

de VulDB • 12/07/2026

Flowise antes da versão 3.1.0 (versões afetadas: 3.0.13 e anteriores) utiliza segredos padrão de JWT hardcoded fracos ('auth_token', 'refresh_token') e valores padrão de audiência e emissor ('AUDIENCE', 'ISSUER') no middleware de autenticação do Passport enterprise (packages/server/src/enterprise/middleware/passport/index.ts). Quando as variáveis de ambiente correspondentes (JWT_AUTH_TOKEN_SECRET, JWT_REFRESH_TOKEN_SECRET, JWT_AUDIENCE, JWT_ISSUER) não estão definidas, a aplicação reverte silenciosamente para esses padrões publicamente conhecidos, permitindo que um atacante forje JWTs válidos e se passe por qualquer usuário, incluindo administradores, resultando em bypass de autenticação.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

VulnCheck

Reservar

20/06/2026

Divulgação

12/07/2026

Moderação

aceite

Entrada

VDB-377863

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!