CVE-2026-31829

Nome do Software Vulnerável e Versões Afetadas Versões do Flowise anteriores à 3.0.13

Descrição O Flowise, uma interface de usuário de arrastar e soltar para criar fluxos personalizados de modelos de linguagem grandes, contém uma vulnerabilidade de Falsificação de Requisição do Lado do Servidor (SSRF). O aplicativo expõe um Nó HTTP dentro do AgentFlow e do Chatflow que realiza solicitações HTTP do lado do servidor usando URLs controladas pelo usuário. Não há restrições aos hosts de destino, permitindo solicitações para intervalos de IPs privados, localhost ou endpoints de metadados de nuvem. Isso permite que um atacante interagindo com um chatflow exposto publicamente force o servidor Flowise a realizar solicitações a recursos de rede interna que, de outra forma, seriam inacessíveis a partir da internet pública.

Recomendações Atualize para a versão 3.0.13 ou posterior.