漏洞概述 漏洞名称: OverrideConfig security vulnerability 发布人: HenryHengZJ 发布日期: 2024年11月21日 严重程度: High CVE ID: 无已知CVE 弱点: 无已知弱点 报告者: ryanhilday 影响范围 受影响版本: =2.1.4 影响描述: - Flowise允许开发者通过 选项在运行时注入配置到Chainflow中。 - 该功能在前端Web集成和后端Prediction API中都存在。 - 存在一系列根本性问题,被认为是主要的安全漏洞。 - 这些问题包括: 1. 远程代码执行 2. 沙箱逃逸 3. 通过崩溃服务器导致的DoS 4. SSRF 5. 提示注入(系统级和用户级) 6. 对LLM提示的完全控制 7. 服务器变量和数据泄露 8. 其他如对话流修改、提示泄露等 - 这些问题是自我目标的,不会持续影响其他用户,但会暴露服务器和业务。 - 所有问题都与API一起工作,也可以通过Web界面使用。 修复方案 建议措施: - 应默认禁用。 - 应有一个明确的允许修改的变量列表,用户可以选择启用。 - 任何 的变体都应被移除,因为修复漏洞似乎是不可能的。 - 推荐的替代方案是:https://www.npmjs.com/package/lozad-dom POC代码或利用代码 页面中未包含具体的POC代码或利用代码。