Escalada de privilegis a Flowise.

ALERTES

08/07/2026

CVE-2025-71338

CRÍTIC (10,0)

CVSS3: 0,0

Flowise conté una vulnerabilitat de salt de directori a l’endpoint /api/v1/document-store/loader/process que permet que els atacants no autenticats escriguin fitxers arbitraris al sistema de fitxers. Els atacants poden explotar paràmetres fileName no sanejats amb seqüències ../ per sobreescriure fitxers crítics com ara package.json i aconseguir l’execució remota de codi quan es reinicia l’aplicació.

Sistemes Afectats

  • Flowiseai Flowise

Remediació

Vegeu-ne les Referències.