嚴重漏洞 CVE-2024-37145

https://nvd.nist.gov/vuln/detail/CVE-2024-37145

CVE-2024-37145 為 Flowise 1.4.3 版本中的漏洞,該漏洞位於`/api/v1/chatflows-streaming/id`端點,允許未經驗證的預設設定下,攻擊者通過特製 URL 注入 Javascript,竊取資訊、製造虛假彈出視窗或將使用者重新導向至其他網站。另外,若未找到 chatflow ID,其值將反映在 404 頁面(類型為 text/html),使得攻擊者能夠附加任意腳本並竊取敏感信息。此 XSS 可能與路徑注入一同使用,使得攻擊者能夠從 Flowise 伺服器中讀取任意檔案。目前尚無已知修補程式。

via National Vulnerability Database

July 2, 2024 at 03:24AM

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *