CVE-2025-58434

Nome do Software Vulnerável e Versões Afetadas Flowise versões 3.0.5 e anteriores

Descrição O endpoint forgot-password retorna informações sensíveis, incluindo um tempToken de redefinição de senha válido, sem exigir autenticação ou verificação. Isso permite que um invasor remoto gere um token de redefinição para qualquer usuário e redefina sua senha, levando ao controle total da conta (ATO). Este problema afeta tanto o serviço em nuvem (cloud.flowiseai.com) quanto implantações auto-hospedadas ou locais. Especificamente, o endpoint '/api/v1/account/forgot-password' aceita um endereço de e-mail e responde com detalhes do usuário e um tempToken, que pode então ser usado no endpoint '/api/v1/account/reset-password' para alterar a senha. Mais de 11.000 instâncias vulneráveis foram identificadas.

Recomendações Atualize para a versão 3.0.6. Não retorne tokens de redefinição ou detalhes confidenciais da conta em respostas de API; envie os tokens apenas através do e-mail registrado. Configure o endpoint forgot-password para responder com uma mensagem de sucesso genérica para evitar a enumeração de usuários. Implemente uma validação rigorosa para o tempToken, garantindo que seja de uso único, tenha expiração curta, esteja vinculado à origem da solicitação e seja validado em relação à entrega do e-mail. Registre e monitore as solicitações de redefinição de senha para atividades suspeitas. Implemente a verificação de múltiplos fatores para contas sensíveis.