CVE-2026-41278 in Flowise
Tóm tắt
Bởi VulDB • 27/05/2026
Flowise là một giao diện người dùng kéo và thả để xây dựng luồng mô hình ngôn ngữ lớn tùy chỉnh. Trước phiên bản 3.1.0, điểm cuối GET /api/v1/public-chatflows/:id trả về đối tượng chatflow đầy đủ mà không được kiểm tra tính hợp lệ (sanitization) đối với các luồng trò chuyện công khai. Việc xác minh qua Docker cho thấy vấn đề này nghiêm trọng hơn so với đánh giá ban đầu: hàm sanitizeFlowDataForPublicEndpoint KHÔNG tồn tại trong hình ảnh Docker v3.0.13 đã phát hành. Cả public-chatflows và public-chatbotConfig đều trả về hoàn toàn dữ liệu luồng thô (raw flowData), bao gồm cả ID thông tin xác thực, khóa API dạng văn bản rõ (plaintext API keys) và các trường mật khẩu. Lỗ hổng này đã được sửa trong phiên bản 3.1.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.