CVE-2026-56271 in FlowiseИнформация

Сводка

по VulDB • 12.07.2026

Flowise до версии 3.1.0 (затронутые версии: 3.0.13 и более ранние) использует слабые жестко закодированные значения по умолчанию для секретов JWT ('auth_token', 'refresh_token') а также стандартные значения audience и issuer ('AUDIENCE', 'ISSUER') в middleware аутентификации Enterprise Passport (packages/server/src/enterprise/middleware/passport/index.ts). Когда соответствующие переменные окружения (JWT_AUTH_TOKEN_SECRET, JWT_REFRESH_TOKEN_SECRET, JWT_AUDIENCE, JWT_ISSUER) не заданы, приложение молча переходит к использованию этих общедоступных значений по умолчанию, что позволяет злоумышленнику подделывать валидные токены JWT и выдавать себя за любого пользователя, включая администраторов, приводя к обходу аутентификации.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

VulnCheck

Резервировать

20.06.2026

Раскрытие

12.07.2026

Модерация

принято

Вход

VDB-377863

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Do you know our Splunk app?

Download it now for free!