CVE-2026-30824

Nome do Software Vulnerável e Versões Afetadas Versões do Flowise anteriores a 3.0.13

Descrição O Flowise apresenta um problema em que o endpoint do roteador NVIDIA NIM ('/api/v1/nvidia-nim/*') foi incorretamente adicionado à lista branca no middleware de autenticação global. Isso permitiu acesso não autenticado a endpoints sensíveis de gerenciamento de contêineres e geração de tokens. Especificamente, o problema decorre de uma configuração em packages/server/src/utils/constants.ts, na qual a rota NVIDIA NIM foi incluída na lista branca de autenticação, ignorando a validação de JWT/chave de API. Os endpoints afetados incluem aqueles para obtenção de tokens da API NVIDIA, gerenciamento do ciclo de vida de contêineres (iniciar, parar, puxar imagens) e recuperação de informações de contêiner. Um atacante poderia explorar isso para vazar tokens válidos da API NVIDIA, manipular o tempo de execução do contêiner e, potencialmente, causar negação de serviço. O token da API NVIDIA concede acesso à API de inferência da NVIDIA e pode listar mais de 170 modelos de linguagem de grande porte.

Recomendações Versões anteriores a 3.0.13 devem ser atualizadas para a versão 3.0.13 ou posterior.