CVE-2026-41276

Name of the Vulnerable Software and Affected Versions Flowise versões anteriores a 3.1.0

Description Atacantes remotos podem ignorar a autenticação no Flowise. O problema existe na função resetPassword() da classe AccountService, onde o sistema não verifica se um token de redefinição de senha foi realmente gerado para a conta do usuário. Como o token de redefinição é nulo ou uma string vazia por padrão, um atacante que conheça o endereço de e-mail do usuário pode enviar uma solicitação para o endpoint '/api/v1/account/reset-password' com um valor de reset token nulo ou vazio para alterar a senha do usuário.

Recommendations Atualizar para a versão 3.1.0.