CVE-2026-30820

Nome do Software Vulnerável e Versões Afetadas Versões do Flowise anteriores à 3.0.13

Descrição O Flowise confia incorretamente em clientes HTTP que definem o cabeçalho x-request-from: internal, contornando as verificações de autorização para todos os endpoints /api/v1/**. Isso permite que uma sessão de locatário autenticada invoque endpoints internos de administração, como gerenciamento de chaves de API, repositórios de credenciais e execução de funções personalizadas, resultando em escalonamento de privilégios. O código vulnerável reside em external/Flowise/packages/server/src/index.ts:214, onde a aplicação ignora a autorização com base na presença do cabeçalho x-request-from: internal sem validação adicional. Isso permite que um locatário de baixo privilégio, possuindo apenas um cookie de navegador, acesse e manipule funções administrativas sensíveis. O endpoint de API /api/v1/apikey é especificamente mencionado como sendo acessível com esse contorno, permitindo a criação de novas chaves de API. Outros endpoints de API afetados incluem /api/v1/credentials, /api/v1/tools e /api/v1/node-custom-function. O parâmetro vulnerável é o cabeçalho x-request-from.

Recomendações Versões do Flowise anteriores à 3.0.13 são vulneráveis e devem ser atualizadas para a versão 3.0.13 ou posterior.