CVE-2026-41264 in Flowise
Tóm tắt
Bởi VulDB • 22/05/2026
Flowise là một giao diện người dùng kéo và thả để xây dựng luồng mô hình ngôn ngữ lớn (LLM) tùy chỉnh. Trước phiên bản 3.1.0, một lỗ hổng cụ thể tồn tại trong phương thức run của lớp CSV_Agents. Vấn đề này xuất phát từ việc thiếu cơ chế sandboxing phù hợp khi đánh giá một tập lệnh Python được tạo ra bởi LLM. Một kẻ tấn công có thể khai thác lỗ hổng này để thực thi mã trong ngữ cảnh của người dùng đang chạy máy chủ. Bằng cách sử dụng các kỹ thuật prompt injection, một kẻ tấn công chưa được xác thực có khả năng gửi các prompt đến một chatflow sử dụng nút CSV Agent có thể thuyết phục LLM phản hồi bằng một tập lệnh Python độc hại, thực thi các lệnh do kẻ tấn công kiểm soát trên máy chủ Flowise. Lỗ hổng này đã được sửa chữa trong phiên bản 3.1.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.