CRITICAL🇬🇧 English

CVE-2025-71333

Flowise – nieuwierzytelniony upload plików z path traversal umożliwiający RCE

CVSS 9.3v4.0pub. 2026-06-25upd. 2026-07-01

Flowise w wersjach do 2.2.4 włącznie zawiera krytyczną podatność pozwalającą nieuwierzytelnionemu atakującemu na przesłanie dowolnych plików na serwer poprzez endpoint /api/v1/attachments. Podatność jest szczególnie groźna, ponieważ nie wymaga żadnego uwierzytelnienia i może prowadzić do pełnego przejęcia serwera.

Pokaż oryginał (EN)

Flowise through 2.2.4 contains an unauthenticated arbitrary file upload vulnerability in the /api/v1/attachments endpoint when storageType is set to local. Attackers can exploit path traversal in the chatId and chatflowId parameters to upload malicious files to arbitrary directories, potentially enabling remote code execution and server compromise.

🤖 Analiza AI
Jak działa

Endpoint /api/v1/attachments nie wymaga uwierzytelnienia i akceptuje pliki przesyłane przez użytkownika. Parametry chatId oraz chatflowId są podatne na path traversal (CWE-73 – External Control of File Name or Path), co pozwala atakującemu na manipulację ścieżką docelową zapisu pliku. W konsekwencji złośliwy plik może zostać zapisany poza przeznaczonym katalogiem – w dowolnym miejscu dostępnym dla procesu aplikacji. Podatność dotyczy wyłącznie konfiguracji, w której parametr storageType ustawiony jest na wartość local.

Skutki

Atakujący może przesłać złośliwe pliki (np. webshell) do dowolnych katalogów na serwerze, co może prowadzić do zdalnego wykonania kodu (RCE) i pełnego przejęcia kontroli nad serwerem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek doraźny należy rozważyć zmianę konfiguracji storageType na wartość inną niż local (np. zewnętrzne przechowywanie plików) oraz ograniczenie dostępu sieciowego do endpointu /api/v1/attachments za pomocą firewall lub mechanizmów uwierzytelniania na poziomie infrastruktury.

Kogo dotyczy

Flowise w wersjach do 2.2.4 włącznie, skonfigurowany z parametrem storageType ustawionym na local.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Flowiseai Flowise

    APP
    Flowiseai
    ≤ 2.2.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2025-71338CRITICAL10.0PL ✓ten sam produkt

Flowise: path traversal umożliwiający zapis plików i RCE bez uwierzytelnienia

CVE-2025-71327CRITICAL9.3PL ✓ten sam produkt

Flowise – Authentication Bypass przez niezabezpieczony endpoint rejestracji

CVE-2025-71334CRITICAL9.3PL ✓ten sam produkt

Flowise – path traversal umożliwiający zapis/odczyt plików i RCE (bez uwierzytelnienia)

CVE-2025-71336CRITICAL9.3PL ✓ten sam produkt

RCE w Flowise — command injection przez endpoint Custom MCP

CVE-2026-46440CRITICAL9.1PL ✓ten sam produkt

Flowise: niebezpieczna walidacja danych uwierzytelniających w endpoincie checkBasicAuth