PT-2026-55224 · Drupal+1 · Flowdrop+1
Aincient Labs
+5
·
Publicado
2026-07-01
·
Atualizado
2026-07-10
·
CVE-2026-58589
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas
FlowDrop versões 0.0.0 a 1.6.0
Description
Uma falha de autorização ausente permite a navegação forçada (Forceful Browsing). O módulo, que permite testar e executar fluxos de trabalho orientados por IA através de uma interface de chat, não aplica permissões adequadamente em certos endpoints. Isso pode permitir que atacantes acionem a execução de fluxos de trabalho, resultando em custos de LLM (Large Language Model) e efeitos colaterais em ferramentas, ou permitam o envio de mensagens para sessões de outros usuários. O problema é mitigado pelo fato de o atacante precisar da permissão "View any session", que não é concedida a usuários anônimos ou autenticados por padrão.
Recommendations
Atualize o FlowDrop para uma versão posterior à 1.6.0.
Restrinja a permissão "View any session" para evitar que usuários não autorizados acessem os endpoints afetados.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Flowdrop
Drupal/Flowdrop