PT-2026-34743 · Flowise · Flowise

Publicado

2026-04-18

·

Atualizado

2026-06-13

·

CVE-2026-41265

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Flowise versões anteriores a 3.1.0
Descrição Existe um problema no método run() da classe Airtable Agents devido ao sandboxing insuficiente ao avaliar scripts Python gerados por um Modelo de Linguagem Ampla (LLM). Um invasor não autenticado pode usar técnicas de injeção de prompt para convencer o LLM a gerar um script Python malicioso. Este script pode burlar a função validatePythonCodeForDataFrame() e sua lista FORBIDDEN PATTERNS utilizando técnicas como o apelido de módulos durante a importação (por exemplo, importando o módulo os como pandas).
A exploração bem-sucedida permite que o invasor execute comandos arbitrários do sistema operacional no servidor no contexto do usuário que executa a aplicação. A falha pode ser acionada através dos seguintes métodos:
  • Envio de um prompt manipulado para um chatflow que utilize o nó Airtable Agent através do endpoint /api/v1/prediction/{chat id}.
  • Um invasor autenticado especificando um servidor malicioso em um chatflow que retorne um script malicioso em vez de uma resposta do LLM.
  • Um invasor autenticado especificando uma tabela Airtable que contenha injeções de prompt em seus nomes de coluna.
Recomendações Atualize para a versão 3.1.0. Como medida paliativa temporária, restrinja o acesso ao nó Airtable Agent ou ao endpoint /api/v1/prediction/ para minimizar o risco de exploração.

Exploit

Correção

RCE

Incomplete List of Disallowed Inputs

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-184CWE-77

Identificadores relacionados

CVE-2026-41265
GHSA-V38X-C887-992F
ZDI-26-307

Produtos afetados

Flowise