CVE-2026-41270

Name of the Vulnerable Software and Affected Versions Flowise versões anteriores a 3.1.0

Description Um bypass de proteção contra Server-Side Request Forgery (SSRF) existe no recurso Custom Function. Embora a aplicação utilize HTTP DENY LIST para proteger as bibliotecas axios e node-fetch, os módulos integrados http, https e net do Node.js são permitidos dentro do sandbox NodeVM sem proteções semelhantes. Isso permite que usuários autenticados contornem os controles de SSRF e acessem recursos de rede interna, como serviços de metadados de provedores de nuvem.

Recommendations Atualizar para a versão 3.1.0.