CRITICAL🇬🇧 English

CVE-2025-71327

Flowise – Authentication Bypass przez niezabezpieczony endpoint rejestracji

CVSS 9.3v4.0pub. 2026-06-25upd. 2026-06-29

Flowise zawiera podatność authentication bypass w niezabezpieczonym endpoincie /api/v1/account/register, umożliwiającą nieuwierzytelnionym atakującym tworzenie kont użytkowników. Podatność jest krytyczna, ponieważ zdalny atakujący może uzyskać pełny dostęp do API systemu bez posiadania żadnych poświadczeń.

Pokaż oryginał (EN)

Flowise contains an authentication bypass vulnerability in the unprotected /api/v1/account/register endpoint that allows unauthenticated attackers to create user accounts. Remote attackers can exploit this endpoint to register arbitrary accounts and authenticate to the system, gaining full API access without credentials.

🤖 Analiza AI
Jak działa

Endpoint /api/v1/account/register nie jest objęty mechanizmem uwierzytelniania (CWE-306 — brak krytycznej weryfikacji tożsamości). Atakujący bez żadnych uprawnień może wysłać żądanie sieciowe do tego endpointu i zarejestrować dowolne konto użytkownika. Po zarejestrowaniu konta atakujący może się nim uwierzytelnić w systemie i uzyskać pełny dostęp do API Flowise.

Skutki

Atakujący może zdalnie i bez żadnych poświadczeń utworzyć konto w systemie Flowise, a następnie zalogować się i uzyskać pełny dostęp do API — co może prowadzić do nieuprawnionego odczytu, modyfikacji danych oraz dalszego kompromitowania systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (GitHub Security Advisory GHSA-v5w9-prxf-w882). Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do endpointu /api/v1/account/register na poziomie firewall lub reverse proxy.

Kogo dotyczy

Flowise (FlowiseAI) — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Flowiseai Flowise

    APP
    Flowiseai
    3.0.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-71338CRITICAL10.0PL ✓ten sam produkt

Flowise: path traversal umożliwiający zapis plików i RCE bez uwierzytelnienia

CVE-2025-71333CRITICAL9.3PL ✓ten sam produkt

Flowise – nieuwierzytelniony upload plików z path traversal umożliwiający RCE

CVE-2025-71334CRITICAL9.3PL ✓ten sam produkt

Flowise – path traversal umożliwiający zapis/odczyt plików i RCE (bez uwierzytelnienia)

CVE-2025-71336CRITICAL9.3PL ✓ten sam produkt

RCE w Flowise — command injection przez endpoint Custom MCP

CVE-2026-46440CRITICAL9.1PL ✓ten sam produkt

Flowise: niebezpieczna walidacja danych uwierzytelniających w endpoincie checkBasicAuth