PT-2026-55224 · Drupal+1 · Flowdrop+1

Aincient Labs

+5

·

Publicado

2026-07-01

·

Atualizado

2026-07-10

·

CVE-2026-58589

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas FlowDrop versões 0.0.0 a 1.6.0
Description Uma falha de autorização ausente permite a navegação forçada (Forceful Browsing). O módulo, que permite testar e executar fluxos de trabalho orientados por IA através de uma interface de chat, não aplica permissões adequadamente em certos endpoints. Isso pode permitir que atacantes acionem a execução de fluxos de trabalho, resultando em custos de LLM (Large Language Model) e efeitos colaterais em ferramentas, ou permitam o envio de mensagens para sessões de outros usuários. O problema é mitigado pelo fato de o atacante precisar da permissão "View any session", que não é concedida a usuários anônimos ou autenticados por padrão.
Recommendations Atualize o FlowDrop para uma versão posterior à 1.6.0. Restrinja a permissão "View any session" para evitar que usuários não autorizados acessem os endpoints afetados.

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-58589
DRUPAL-CONTRIB-2026-067

Produtos afetados

Flowdrop
Drupal/Flowdrop