Flowise zawiera podatność authentication bypass w niezabezpieczonym endpoincie /api/v1/account/register, umożliwiającą nieuwierzytelnionym atakującym tworzenie kont użytkowników. Podatność jest krytyczna, ponieważ zdalny atakujący może uzyskać pełny dostęp do API systemu bez posiadania żadnych poświadczeń.
▸ Pokaż oryginał (EN)
Flowise contains an authentication bypass vulnerability in the unprotected /api/v1/account/register endpoint that allows unauthenticated attackers to create user accounts. Remote attackers can exploit this endpoint to register arbitrary accounts and authenticate to the system, gaining full API access without credentials.
Endpoint /api/v1/account/register nie jest objęty mechanizmem uwierzytelniania (CWE-306 — brak krytycznej weryfikacji tożsamości). Atakujący bez żadnych uprawnień może wysłać żądanie sieciowe do tego endpointu i zarejestrować dowolne konto użytkownika. Po zarejestrowaniu konta atakujący może się nim uwierzytelnić w systemie i uzyskać pełny dostęp do API Flowise.
Atakujący może zdalnie i bez żadnych poświadczeń utworzyć konto w systemie Flowise, a następnie zalogować się i uzyskać pełny dostęp do API — co może prowadzić do nieuprawnionego odczytu, modyfikacji danych oraz dalszego kompromitowania systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (GitHub Security Advisory GHSA-v5w9-prxf-w882). Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do endpointu /api/v1/account/register na poziomie firewall lub reverse proxy.
Flowise (FlowiseAI) — wersje wskazane w referencjach producenta
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XFlowiseai Flowise
APPFlowiseai3.0.1
Powiązane podatności
Flowise: path traversal umożliwiający zapis plików i RCE bez uwierzytelnienia
Flowise – nieuwierzytelniony upload plików z path traversal umożliwiający RCE
Flowise – path traversal umożliwiający zapis/odczyt plików i RCE (bez uwierzytelnienia)
RCE w Flowise — command injection przez endpoint Custom MCP
Flowise: niebezpieczna walidacja danych uwierzytelniających w endpoincie checkBasicAuth