PT-2026-34731 · Flowise · Flowise
Publicado
2026-04-16
·
Atualizado
2026-05-14
·
CVE-2026-41266
CVSS v4.0
7.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N |
Name of the Vulnerable Software and Affected Versions
Flowise versões anteriores a 3.1.0
Description
O endpoint '/api/v1/public-chatbotConfig/:id' expõe dados sensíveis sem exigir autenticação. Um invasor que possua um UUID de chatflow pode recuperar configurações internas, cabeçalhos de autorização HTTP e credenciais armazenadas em campos do tipo senha, o que pode levar ao roubo de credenciais.
Recommendations
Atualizar para a versão 3.1.0.
Exploit
Correção
Missing Authorization
Insufficiently Protected Credentials
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Flowise