CVE-2025-26319

Nome do Software Vulnerável e Versões Afetadas FlowiseAI Flowise versão 2.2.6

Descrição O FlowiseAI Flowise versão 2.2.6 contém uma vulnerabilidade de upload arbitrário de arquivos no endpoint da API /api/v1/attachments. Isso permite que atacantes não autenticados façam upload de arquivos maliciosos, potencialmente levando à execução remota de código ou tomada de controle do servidor. Relatos indicam que este problema está sendo ativamente explorado. Aproximadamente 2,2 mil a 35 mil instâncias da plataforma vulnerável foram identificadas online. A vulnerabilidade permite que atacantes contornem medidas de segurança e façam upload de arquivos sem a devida autorização, o que poderia comprometer o sistema.

Recomendações Atualize para a versão 2.2.7 ou posterior para corrigir esta vulnerabilidade.