CVE-2025-34267

Nome do Software Vulnerável e Versões Afetadas Versões do Flowise 3.0.1 a 3.0.7 Versões do Flowise 3.0.8 e posteriores com 'ALLOW BUILTIN DEP' habilitado

Descrição O software contém uma vulnerabilidade de execução remota de código autenticada e um escape da sandbox da VM do Node. Isso se deve ao uso inseguro de módulos integrados (Puppeteer e Playwright) dentro do ambiente de execução nodevm. Um invasor autenticado que possa criar ou executar uma ferramenta que utilize Puppeteer/Playwright pode especificar caminhos e parâmetros do binário do navegador controlados pelo invasor. Quando a ferramenta é executada, esses elementos controlados pelo invasor são executados no host, contornando as restrições da sandbox nodevm e permitindo a execução arbitrária de código no contexto do host. Os desenvolvedores identificaram inicialmente isso incorretamente como uma duplicata de outro problema.

Recomendações Atualize para a versão 3.0.8 ou posterior do Flowise e certifique-se de que 'ALLOW BUILTIN DEP' esteja desabilitado. Para versões anteriores à 3.0.8, considere restringir o acesso a ferramentas que utilizam Puppeteer/Playwright.