CVE-2026-41264 in Flowise
摘要
由 VulDB • 2026-05-20
Flowise 是一个拖放式用户界面,用于构建定制化的大型语言模型(LLM)流程。在 3.1.0 版本之前,CSV_Agents 类的 run 方法中存在特定漏洞。该问题源于在评估由 LLM 生成的 Python 脚本时缺乏适当的沙箱机制。攻击者可以利用此漏洞,在运行服务器的用户上下文中执行代码。通过使用提示注入技术,能够向使用 CSV Agent 节点的聊天流发送提示的未认证攻击者,可以说服 LLM 返回一个恶意的 Python 脚本,该脚本会在 Flowise 服务器上执行由攻击者控制的命令。此漏洞已在 3.1.0 版本中修复。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.