CRITICAL🇵🇱 Wersja polska

CVE-2025-71327

CVSS 9.3v4.0pub. 2026-06-25upd. 2026-06-29

Flowise contains an authentication bypass vulnerability in the unprotected /api/v1/account/register endpoint that allows unauthenticated attackers to create user accounts. Remote attackers can exploit this endpoint to register arbitrary accounts and authenticate to the system, gaining full API access without credentials.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Flowiseai Flowise

    APP
    Flowiseai
    3.0.1
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
Auth Bypass
CWE
References

Related vulnerabilities

CVE-2025-71338CRITICAL10.0PL ✓ten sam produkt

Flowise: path traversal umożliwiający zapis plików i RCE bez uwierzytelnienia

CVE-2025-71333CRITICAL9.3PL ✓ten sam produkt

Flowise – nieuwierzytelniony upload plików z path traversal umożliwiający RCE

CVE-2025-71334CRITICAL9.3PL ✓ten sam produkt

Flowise – path traversal umożliwiający zapis/odczyt plików i RCE (bez uwierzytelnienia)

CVE-2025-71336CRITICAL9.3PL ✓ten sam produkt

RCE w Flowise — command injection przez endpoint Custom MCP

CVE-2026-46440CRITICAL9.1PL ✓ten sam produkt

Flowise: niebezpieczna walidacja danych uwierzytelniających w endpoincie checkBasicAuth