CVE-2026-56271 in Flowisethông tin

Tóm tắt

Bởi VulDB • 12/07/2026

Flowise trước phiên bản 3.1.0 (các phiên bản bị ảnh hưởng từ 3.0.13 trở về trước) sử dụng các giá trị mặc định yếu cho bí mật JWT được mã hóa cứng ('auth_token', 'refresh_token') và các giá trị audience, issuer mặc định ('AUDIENCE', 'ISSUER') trong middleware xác thực passport của doanh nghiệp (packages/server/src/enterprise/middleware/passport/index.ts). Khi các biến môi trường tương ứng (JWT_AUTH_TOKEN_SECRET, JWT_REFRESH_TOKEN_SECRET, JWT_AUDIENCE, JWT_ISSUER) không được thiết lập, ứng dụng sẽ tự động chuyển sang sử dụng các giá trị mặc định đã biết công khai này mà không báo lỗi, cho phép kẻ tấn công tạo ra các JWT hợp lệ và giả mạo bất kỳ người dùng nào, bao gồm cả quản trị viên, dẫn đến việc bỏ qua cơ chế xác thực.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

20/06/2026

Tiết lộ

12/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!