CVE-2026-41274

Nome do Software Vulnerável e Versões Afetadas Flowise versões anteriores a 3.1.0

Description O nó GraphCypherQAChain encaminha a entrada fornecida pelo usuário diretamente para o pipeline de execução de consultas Cypher sem a sanitização adequada. Isso permite que um invasor injete comandos Cypher arbitrários que são executados no banco de dados Neo4j subjacente, podendo levar à exfiltração, modificação, exclusão de dados ou descoberta de esquema. O problema ocorre na função run() do arquivo GraphCypherQAChain.ts, onde a variável query é passada para a cadeia sem escape. A exploração requer acesso ao endpoint de predição '/api/v1/prediction/{flowId}'.

Recommendations Atualize para a versão 3.1.0. Como medida paliativa temporária, restrinja o acesso ao endpoint '/api/v1/prediction/{flowId}' apenas a usuários autorizados.