CVE-2026-30821

Nome do Software Vulnerável e Versões Afetadas Versões do Flowise anteriores à 3.0.13

Descrição O Flowise apresenta uma falha na qual o endpoint /api/v1/attachments/:chatflowId/:chatId permite acesso não autenticado à API de upload de arquivos porque está incluído no WHITELIST URLS. O servidor confia no cabeçalho Content-Type fornecido pelo cliente sem verificar o conteúdo real ou a extensão do arquivo, permitindo que atacantes contornem as restrições de tipo de arquivo falsificando o Content-Type. Uma vez carregados via addArrayFilesToStorage, esses arquivos são armazenados no armazenamento de backend (S3, GCS ou disco local). Isso pode levar a XSS Armazenado, hospedagem de arquivos maliciosos ou Execução Remota de Código (RCE) se encadeada com outras funcionalidades. A vulnerabilidade está relacionada ao manuseio inadequado de uploads de arquivos e à falta de validação de conteúdo.

Recomendações Versões anteriores à 3.0.13 devem ser atualizadas para a versão 3.0.13 ou superior.