CVE-2026-41277

Name of the Vulnerable Software and Affected Versions Flowise versões anteriores a 3.1.0

Description Um problema de Mass Assignment no endpoint de criação do DocumentStore permite que usuários autenticados controlem a chave primária id e os campos de estado interno das entidades DocumentStore. Como o serviço utiliza a função repository.save() com uma chave primária fornecida pelo cliente, o endpoint de criação POST comporta-se como uma operação UPSERT implícita, que é uma operação de banco de dados que atualiza um registro existente se ele existir ou insere um novo caso contrário. Isso permite a sobrescrita de objetos DocumentStore existentes. Em implantações de múltiplos workspaces ou multi-tenant, isso pode resultar na tomada de controle de objetos entre workspaces e quebra de autorização em nível de objeto, permitindo que um invasor reatribua ou modifique objetos DocumentStore pertencentes a outros workspaces.

Recommendations Atualizar para a versão 3.1.0.