CRITICAL🇵🇱 Wersja polska

CVE-2025-71333

CVSS 9.3v4.0pub. 2026-06-25upd. 2026-07-01

Flowise through 2.2.4 contains an unauthenticated arbitrary file upload vulnerability in the /api/v1/attachments endpoint when storageType is set to local. Attackers can exploit path traversal in the chatId and chatflowId parameters to upload malicious files to arbitrary directories, potentially enabling remote code execution and server compromise.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Flowiseai Flowise

    APP
    Flowiseai
    ≤ 2.2.4
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
RCEPath Traversal
CWE
References

Related vulnerabilities

CVE-2025-71338CRITICAL10.0PL ✓ten sam produkt

Flowise: path traversal umożliwiający zapis plików i RCE bez uwierzytelnienia

CVE-2025-71327CRITICAL9.3PL ✓ten sam produkt

Flowise – Authentication Bypass przez niezabezpieczony endpoint rejestracji

CVE-2025-71334CRITICAL9.3PL ✓ten sam produkt

Flowise – path traversal umożliwiający zapis/odczyt plików i RCE (bez uwierzytelnienia)

CVE-2025-71336CRITICAL9.3PL ✓ten sam produkt

RCE w Flowise — command injection przez endpoint Custom MCP

CVE-2026-46440CRITICAL9.1PL ✓ten sam produkt

Flowise: niebezpieczna walidacja danych uwierzytelniających w endpoincie checkBasicAuth