CVE-2026-46479

Nome do Software Vulnerável e Versões Afetadas Flowise versões anteriores a 3.1.2

Descrição Um problema de atribuição em massa (mass assignment) existe nos processos de criação e atualização de avaliações. O servidor utiliza Object.assign() para copiar o corpo da requisição para a entidade Evaluation sem uma lista de permissões (allowlist) de campos explícita, permitindo que um cliente sobrescreva campos sensíveis como workspaceId, id, createdDate e updatedDate. Um usuário autenticado pode explorar isso enviando uma requisição para o endpoint PUT /api/v1/evaluations/<id> com a variável workspaceId modificada, movendo efetivamente uma avaliação para um workspace diferente. Isso resulta em uma violação de limite entre workspaces e Referência Direta Insegura a Objeto (IDOR), onde os dados podem ser expostos a membros de outro workspace.

Recomendações Atualize para a versão 3.1.2. Como medida paliativa temporária, restrinja o acesso ao endpoint PUT /api/v1/evaluations/<id> para minimizar o risco de transferências não autorizadas entre workspaces.