PT-2026-34738 · Flowise · Flowise
Publicado
2026-04-16
·
Atualizado
2026-04-23
·
CVE-2026-41273
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
Name of the Vulnerable Software and Affected Versions
Flowise versões anteriores a 3.1.0
Description
Uma falha de bypass de autenticação permite que um invasor não autenticado obtenha tokens de acesso OAuth 2.0 associados a um chatflow público. Ao acessar um endpoint de configuração de chatflow público, um invasor pode recuperar dados internos do fluxo de trabalho, incluindo identificadores de credenciais OAuth, que podem então ser usados para atualizar e obter tokens de acesso OAuth 2.0 válidos sem autenticação.
Recommendations
Atualizar para a versão 3.1.0.
Exploit
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Flowise