Escalada de privilegis a Flowise.
08/07/2026
CVE-2025-71338
CRÍTIC (10,0)
CVSS3: 0,0
Flowise conté una vulnerabilitat de salt de directori a l’endpoint /api/v1/document-store/loader/process que permet que els atacants no autenticats escriguin fitxers arbitraris al sistema de fitxers. Els atacants poden explotar paràmetres fileName no sanejats amb seqüències ../ per sobreescriure fitxers crítics com ara package.json i aconseguir l’execució remota de codi quan es reinicia l’aplicació.
Sistemes Afectats
- Flowiseai Flowise
Remediació
Vegeu-ne les Referències.









