CVE-2026-46477

Nome do Software Vulnerável e Versões Afetadas Flowise versões anteriores a 3.1.2

Descrição Um problema de atribuição em massa (mass assignment) existe nos processos de criação e atualização de conjuntos de dados (datasets). A aplicação utiliza Object.assign() para copiar o corpo da requisição para uma entidade Dataset sem uma lista de permissões (allowlist) de campos explícita, permitindo que um cliente sobrescreva campos sensíveis. Especificamente, um usuário autenticado pode manipular as variáveis workspaceId e id através do endpoint PUT /api/v1/datasets/<id>. Isso permite que um invasor mova um conjunto de dados de um workspace para outro ao especificar um workspaceId diferente, resultando em a apropriação de datasets entre workspaces e Referência Direta Insegura a Objeto (IDOR). Isso ocorre porque a camada de persistência salva os valores controlados pelo cliente diretamente no banco de dados, quebrando o isolamento entre workspaces.

Recomendações Atualize para a versão 3.1.2. Como medida paliativa temporária, restrinja o acesso ao endpoint PUT /api/v1/datasets/<id> ou monitore requisições que contenham os parâmetros workspaceId ou id no corpo da requisição.