Flowise contains an authentication bypass vulnerability in the unprotected /api/v1/account/register endpoint that allows unauthenticated attackers to create user accounts. Remote attackers can exploit this endpoint to register arbitrary accounts and authenticate to the system, gaining full API access without credentials.
CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XFlowiseai Flowise
APPFlowiseai3.0.1
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
Auth Bypass
CWE
Related vulnerabilities
CVE-2025-71338CRITICAL10.0PL ✓ten sam produkt
Flowise: path traversal umożliwiający zapis plików i RCE bez uwierzytelnienia
CVE-2025-71333CRITICAL9.3PL ✓ten sam produkt
Flowise – nieuwierzytelniony upload plików z path traversal umożliwiający RCE
CVE-2025-71334CRITICAL9.3PL ✓ten sam produkt
Flowise – path traversal umożliwiający zapis/odczyt plików i RCE (bez uwierzytelnienia)
CVE-2025-71336CRITICAL9.3PL ✓ten sam produkt
RCE w Flowise — command injection przez endpoint Custom MCP
CVE-2026-46440CRITICAL9.1PL ✓ten sam produkt
Flowise: niebezpieczna walidacja danych uwierzytelniających w endpoincie checkBasicAuth