PT-2026-34746 · Flowise · Flowise
Publicado
2026-04-17
·
Atualizado
2026-04-23
·
CVE-2026-41278
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Name of the Vulnerable Software and Affected Versions
Flowise versões anteriores a 3.1.0
Description
O endpoint 'GET /api/v1/public-chatflows/:id' retorna o objeto completo do chatflow sem sanitização para chatflows públicos. Na imagem Docker v3.0.13, a função
sanitizeFlowDataForPublicEndpoint() está ausente, fazendo com que tanto o public-chatflows quanto o public-chatbotConfig retornem flowData brutos. Isso inclui informações sensíveis, como IDs de credenciais, chaves de API em texto simples e campos do tipo senha.Recommendations
Atualizar para a versão 3.1.0.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Flowise