CVE-2026-41272

Name of the Vulnerable Software and Affected Versions Flowise versões anteriores a 3.1.0

Description Os wrappers de segurança principais secureAxiosRequest() e secureFetch(), projetados para prevenir Server-Side Request Forgery (SSRF), contêm falhas de lógica. Essas falhas permitem que atacantes ignorem listas de permissão ou negação por meio de DNS Rebinding, uma condição de corrida Time-of-Check Time-of-Use (TOCTOU) onde um nome de domínio resolve para um IP seguro durante a validação, mas para um IP malicioso durante a requisição real, ou explorando uma configuração padrão que não impõe nenhuma lista de negação.

Recommendations Atualizar para a versão 3.1.0.