目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1325 CNY

100%
コーヒーを一杯おごる

CVE-2026-42863— Flowise 访问控制错误漏洞

AI Predicted 6.5 Difficulty: Easy EPSS 0.23% · P13

Possible ATT&CK Techniques 1AI

T1190 · Exploit Public-Facing Application

Affected Version Matrix 1

ベンダープロダクトVersion Rangeステータス
FlowiseAIFlowise< 3.1.2affected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-42863の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Flowise: Mass Assignment in Chatflow Update Endpoint Allows Cross-Workspace AgentFlow Reassignment
ソース: NVD (National Vulnerability Database)
脆弱性説明
Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, a mass assignment vulnerability exists in the chatflow update endpoint of FlowiseAI. The endpoint allows clients to modify server-controlled properties such as deployed, isPublic, workspaceId, createdDate, and updatedDate when updating a chatflow object. Due to missing server-side validation and authorization checks, an authenticated user can manipulate internal attributes of a chatflow and reassign it to another workspace. This allows cross-workspace resource reassignment and unauthorized modification of deployment and visibility settings. This issue has been patched in version 3.1.2.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
访问控制不恰当
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Flowise 访问控制错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Flowise是FlowiseAI开源的一个用于轻松构建 LLM 应用程序的工具。 Flowise 3.1.2之前版本存在访问控制错误漏洞,该漏洞源于聊天流更新端点缺少服务器端验证和授权检查,可能导致批量赋值漏洞,允许经过身份验证的用户操纵聊天流的内部属性并将其重新分配到另一个工作区,导致跨工作区资源重新分配以及部署和可见性设置的未授权修改。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
FlowiseAIFlowise < 3.1.2 -

II. CVE-2026-42863の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-42863のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-42863 厂商安全公告 (1)

CVE-2026-42863 厂商页面 (1)

Same Patch Batch · FlowiseAI · 2026-06-08 · 14 CVEs total

CVE-2026-42862Flowise: Mass Assignment in Tool Update Endpoint Allows Cross-Workspace Resource Reassignm
CVE-2026-42861Flowise: Mass Assignment in Variable Update Endpoint Allows Cross-Workspace Resource Reass
CVE-2026-46476Flowise: CustomTemplate create+update mass-assignment allows cross-workspace template take
CVE-2026-46479Flowise: Evaluation create+update mass-assignment allows cross-workspace evaluation takeov
CVE-2026-46475Flowise: Assistant create+update mass-assignment allows cross-workspace assistant takeover
CVE-2026-46444Flowise: Vector Store No Permission Checks
CVE-2026-46478Flowise: DatasetRow create+update mass-assignment allows cross-workspace row takeover
CVE-2026-46442Flowise: Authenticated Host RCE via POST /api/v1/node-custom-function and NodeVM Sandbox E
CVE-2026-46477Flowise: Dataset create+update mass-assignment allows cross-workspace dataset takeover
CVE-2026-46480Flowise: Evaluator create+update mass-assignment allows cross-workspace evaluator takeover
CVE-2026-46440Flowise: Basic Auth Credentials Exposed via API
CVE-2026-46443Flowise: Credential Data Leak
CVE-2026-46441Flowise: Mass Assignment in Assistant Update Endpoint Allows Cross-Workspace Resource Reas

IV. 関連脆弱性

同じ製品: Flowise
同じベンダー: FlowiseAI
同じ弱点: CWE-284

V. CVE-2026-42863へのコメント

まだコメントはありません

コメントを残す