CVE-2026-30822

Flowise e Versões Afetadas Versões do Flowise anteriores à 3.0.13

Descrição O Flowise é uma interface de usuário de arrastar e soltar para construir um fluxo de modelo de linguagem de grande porte personalizado. Existe uma vulnerabilidade de atribuição em massa no endpoint /api/v1/leads, permitindo que usuários não autenticados controlem campos internos da entidade (id, createdDate, chatId) ao incluí-los no corpo da requisição. O endpoint utiliza Object.assign() para copiar todas as propriedades do corpo da requisição para a entidade Lead sem validação de entrada ou filtragem de campos. Isso permite que atacantes contornem campos gerados automaticamente e injetem valores arbitrários. A vulnerabilidade existe em /packages/server/src/services/leads/index.ts nas linhas 27-28. A definição da entidade Lead em /packages/server/src/database/entities/Lead.ts utiliza decoradores do TypeORM que deveriam gerar automaticamente esses campos, mas Object.assign() sobrescreve esses campos antes de serem salvos. O endpoint /api/v1/leads é publicamente acessível devido à sua inclusão em uma lista de permissões em /packages/server/src/utils/constants.ts. Os cenários de ataque incluem ataques de colisão de ID, manipulação do registro de auditoria, violações de integridade de dados e manipulação de associação de chatflow.

Recomendações Versões anteriores à 3.0.13: Implemente uma correção para criar uma lista de campos permitidos durante a atribuição de objetos, copiando apenas campos explicitamente permitidos do corpo da requisição. Alternativamente, utilize desestruturação com campos explícitos ou utilize class-transformer com decoradores @Exclude() para prevenir a atribuição de campos sensíveis a partir da requisição. Considere aplicar a mesma correção a outros endpoints que utilizam Object.assign() com corpos de requisição, como /packages/server/src/utils/addChatMessageFeedback.ts.