目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1325 CNY

100%
コーヒーを一杯おごる

CVE-2026-42862— Flowise 访问控制错误漏洞

AI Predicted 8.1 Difficulty: Easy EPSS 0.17% · P7

Possible ATT&CK Techniques 1AI

T1136.001 · Local Account

Affected Version Matrix 1

ベンダープロダクトVersion Rangeステータス
FlowiseAIFlowise< 3.1.2affected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-42862の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Flowise: Mass Assignment in Tool Update Endpoint Allows Cross-Workspace Resource Reassignment
ソース: NVD (National Vulnerability Database)
脆弱性説明
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, a mass assignment vulnerability exists in the tool update endpoint of FlowiseAI. The endpoint allows authenticated users to modify server-controlled properties such as workspaceId, createdDate, and updatedDate when updating a tool resource. Due to missing server-side validation and authorization checks, an attacker can manipulate the workspaceId field and reassign tools to arbitrary workspaces. This breaks tenant isolation in multi-workspace environments. This issue has been patched in version 3.1.2.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
访问控制不恰当
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Flowise 访问控制错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Flowise是FlowiseAI开源的一个用于轻松构建 LLM 应用程序的工具。 Flowise 3.1.2之前版本存在访问控制错误漏洞,该漏洞源于工具更新端点缺少服务器端验证和授权检查,可能导致批量赋值漏洞,允许攻击者操纵workspaceId字段并将工具重新分配到任意工作区,破坏多工作区环境中的租户隔离。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
FlowiseAIFlowise < 3.1.2 -

II. CVE-2026-42862の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-42862のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-42862 厂商安全公告 (1)

CVE-2026-42862 厂商页面 (1)

Same Patch Batch · FlowiseAI · 2026-06-08 · 14 CVEs total

CVE-2026-42861Flowise: Mass Assignment in Variable Update Endpoint Allows Cross-Workspace Resource Reass
CVE-2026-42863Flowise: Mass Assignment in Chatflow Update Endpoint Allows Cross-Workspace AgentFlow Reas
CVE-2026-46476Flowise: CustomTemplate create+update mass-assignment allows cross-workspace template take
CVE-2026-46479Flowise: Evaluation create+update mass-assignment allows cross-workspace evaluation takeov
CVE-2026-46475Flowise: Assistant create+update mass-assignment allows cross-workspace assistant takeover
CVE-2026-46444Flowise: Vector Store No Permission Checks
CVE-2026-46478Flowise: DatasetRow create+update mass-assignment allows cross-workspace row takeover
CVE-2026-46442Flowise: Authenticated Host RCE via POST /api/v1/node-custom-function and NodeVM Sandbox E
CVE-2026-46477Flowise: Dataset create+update mass-assignment allows cross-workspace dataset takeover
CVE-2026-46480Flowise: Evaluator create+update mass-assignment allows cross-workspace evaluator takeover
CVE-2026-46440Flowise: Basic Auth Credentials Exposed via API
CVE-2026-46443Flowise: Credential Data Leak
CVE-2026-46441Flowise: Mass Assignment in Assistant Update Endpoint Allows Cross-Workspace Resource Reas

IV. 関連脆弱性

同じ製品: Flowise
同じベンダー: FlowiseAI
同じ弱点: CWE-284

V. CVE-2026-42862へのコメント

まだコメントはありません

コメントを残す