嚴重安全漏洞 CVE-2024-37146

https://nvd.nist.gov/vuln/detail/CVE-2024-37146

Flowise 版本 1.4.3 存在 CVE-2024-37146 的反射型跨站腳本攻擊漏洞,位於`/api/v1/credentials/id`端點。如果使用預設配置(未經驗證),攻擊者可以製作特製 URL,將 Javascript 注入用戶會話中,從而竊取信息、創建虛假彈出視窗,甚至將用戶重定向到其他網站。未找到 chatflow ID 的值會反映在 404 頁面上,允許攻擊者將任意腳本附加到該頁面,從而竊取敏感信息。此 XSS 可能與路徑注入一起使用,允許無直接訪問 Flowise 的攻擊者從 Flowise 伺服器讀取任意文件。目前尚無已知修補程式可用。

via National Vulnerability Database

July 2, 2024 at 03:24AM

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *