CVE-2026-41264

Name of the Vulnerable Software and Affected Versions Flowise versões anteriores a 3.1.0

Description Uma falha existe no método run da classe CSV Agents devido ao sandboxing inadequado ao avaliar scripts Python gerados por um Large Language Model (LLM). Um invasor não autenticado pode usar técnicas de injeção de prompt para convencer o LLM a gerar um script Python malicioso. Como a validação de entrada na função validatePythonCodeForDataFrame() pode ser burlada, isso permite a execução de comandos arbitrários no servidor no contexto do usuário que executa o serviço.

Recommendations Atualizar para a versão 3.1.0. Como medida paliativa temporária, restrinja o acesso ao nó CSV Agent para minimizar o risco de exploração.