PT-2026-41209 · Flowiseai+1 · Flowise
Publicado
2026-05-14
·
Atualizado
2026-06-11
·
CVE-2026-46444
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Flowise versões anteriores a 3.1.2
Descrição
Todos os endpoints CRUD para o OpenAI Assistants Vector Store carecem de middleware de autenticação e verificações de permissão. Especificamente, o caminho da rota "/api/v1/openai-assistants-vector-store" não está incluído em
WHITELIST URLS e não é protegido pelo middleware de autenticação principal quando acessado via chave de API. Como a função checkAnyPermission() está ausente, qualquer usuário autenticado, independentemente de sua função atribuída, pode realizar operações como criar, modificar e excluir vector stores e arquivos, bem como fazer upload de arquivos para vector stores.Recomendações
Atualizar para a versão 3.1.2.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Flowise