Nome do software vulnerável e versões afetadas:

Flowise (versões afetadas não especificadas)

Descrição:

A vulnerabilidade permite que desenvolvedores injetem configurações no Chainflow durante a execução por meio da opção overrideConfig, que é suportada tanto na integração web front-end quanto na API de previsão back-end. Esse recurso apresenta várias falhas de segurança, incluindo execução remota de código, fuga da sandbox, negação de serviço por travamento do servidor, falsificação de solicitação no lado do servidor, injeção de prompt e exfiltração de dados. Essas falhas podem ser exploradas para obter controle total sobre prompts de LLM, alterar o fluxo de uma conversa e exfiltrar variáveis e dados do servidor. As falhas são direcionadas ao próprio sistema e não afetam outros usuários, mas deixam o servidor e a empresa expostos.

Recomendações: