CVE-2026-56271 in Flowise
Sumário
de VulDB • 12/07/2026
Flowise antes da versão 3.1.0 (versões afetadas: 3.0.13 e anteriores) utiliza segredos padrão de JWT hardcoded fracos ('auth_token', 'refresh_token') e valores padrão de audiência e emissor ('AUDIENCE', 'ISSUER') no middleware de autenticação do Passport enterprise (packages/server/src/enterprise/middleware/passport/index.ts). Quando as variáveis de ambiente correspondentes (JWT_AUTH_TOKEN_SECRET, JWT_REFRESH_TOKEN_SECRET, JWT_AUDIENCE, JWT_ISSUER) não estão definidas, a aplicação reverte silenciosamente para esses padrões publicamente conhecidos, permitindo que um atacante forje JWTs válidos e se passe por qualquer usuário, incluindo administradores, resultando em bypass de autenticação.
If you want to get best quality of vulnerability data, you may have to visit VulDB.