CVE-2026-30823

Nome do Software Vulnerável e Versões Afetadas Versões do Flowise anteriores à 3.0.13

Descrição O Flowise é uma interface de usuário com recurso de arrastar e soltar para criar fluxos personalizados de modelos de linguagem grandes. Existe uma vulnerabilidade crítica de Referência Direta Insegura a Objetos (IDOR), combinada com uma Falha na Lógica de Negócios, no endpoint PUT /api/v1/loginmethod. O endpoint não valida se o usuário autenticado possui posse ou direitos administrativos sobre o organizationId alvo. Isso permite que um usuário de baixo privilégio sobrescreva a configuração SSO de qualquer organização, habilite recursos exclusivos para Enterprise sem licença e realize uma Tomada de Conta redirecionando o fluxo de autenticação. O backend aceita o parâmetro organizationId do corpo JSON e atualiza o registro do banco de dados sem verificar se request.user.organizationId é igual a body.organizationId. Um atacante pode enviar uma requisição PUT elaborada para o endpoint /api/v1/loginmethod, modificando a configuração SSO do Google da vítima ao substituir credenciais OAuth legítimas por credenciais maliciosas do aplicativo. Isso pode levar ao sequestro de sessão ou ao roubo de credenciais quando os funcionários da vítima tentarem fazer login via SSO.

Recomendações As versões anteriores à 3.0.13 devem ser atualizadas para a versão 3.0.13 ou superior.