CVE-2025-61687

Nome do Software Vulnerável e Versões Afetadas Flowise versão 3.0.7

Descrição O Flowise, uma interface de usuário do tipo arrastar e soltar para a criação de fluxos personalizados de modelos de linguagem de grande porte, contém uma vulnerabilidade de upload de arquivos. Usuários autenticados podem fazer upload de arquivos arbitrários sem a devida validação, permitindo que atacantes armazenem persistentemente web shells maliciosos de Node.js no servidor. O sistema não valida extensões de arquivo, tipos MIME ou conteúdo do arquivo durante o upload. As shells carregadas expõem endpoints HTTP capazes de executar comandos arbitrários se acionados. A shell carregada não é executada automaticamente, mas sua presença permite exploração futura via erro do administrador ou vulnerabilidades encadeadas.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.