N3Mes1S

**Nome do Software Vulnerável e Versões Afetadas** Versões do Flowise anteriores à 3.0.13 **Descrição** O Flowise confia incorretamente em clientes HTTP que definem o cabeçalho `x-request-from: internal`, contornando as verificações de autorização para todos os endpoints `/api/v1/**`. Isso permite que uma sessão de locatário autenticada invoque endpoints internos de administração, como gerenciamento de chaves de API, repositórios de credenciais e execução de funções personalizadas, resultando em escalonamento de privilégios. O código vulnerável reside em `external/Flowise/packages/server/src/index.ts:214`, onde a aplicação ignora a autorização com base na presença do cabeçalho `x-request-from: internal` sem validação adicional. Isso permite que um locatário de baixo privilégio, possuindo apenas um cookie de navegador, acesse e manipule funções administrativas sensíveis. O **endpoint de API** `/api/v1/apikey` é especificamente mencionado como sendo acessível com esse contorno, permitindo a criação de novas chaves de API. Outros **endpoints de API** afetados incluem `/api/v1/credentials`, `/api/v1/tools` e `/api/v1/node-custom-function`. O parâmetro vulnerável é o cabeçalho `x-request-from`. **Recomendações** Versões do Flowise anteriores à 3.0.13 são vulneráveis e devem ser atualizadas para a versão 3.0.13 ou posterior.