CVE-2026-41271 in Flowise
Tóm tắt
Bởi VulDB • 21/05/2026
Flowise là một giao diện người dùng kéo và thả để xây dựng luồng mô hình ngôn ngữ lớn tùy chỉnh. Trước phiên bản 3.1.0, tồn tại một lỗ hổng Server-Side Request Forgery (SSRF) trong các thành phần POST/GET API Chain của FlowiseAI, cho phép các kẻ tấn công chưa được xác thực buộc máy chủ thực hiện các yêu cầu HTTP tùy ý đến các hệ thống nội bộ và bên ngoài. Bằng cách tiêm các mẫu prompt độc hại, kẻ tấn công có thể vượt qua các ràng buộc tài liệu API dự kiến và chuyển hướng các yêu cầu đến các dịch vụ nội bộ nhạy cảm, có khả năng dẫn đến việc thăm dò mạng nội bộ và đánh cắp dữ liệu. Lỗ hổng này đã được sửa trong phiên bản 3.1.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.