flowiseaiのflowiseにおける重要な機能に対する認証の欠如に関する脆弱性
| Title |
flowiseaiのflowiseにおける重要な機能に対する認証の欠如に関する脆弱性
|
| Summary |
Flowiseには保護されていない/api/v1/account/registerエンドポイントに認証バイパスの脆弱性が存在し、認証されていない攻撃者がユーザーアカウントを作成できる問題があります。リモートの攻撃者はこのエンドポイントを悪用して任意のアカウントを登録し、認証情報なしでシステムに認証して、完全なAPIアクセス権を獲得できます。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 25, 2026, midnight |
| Registration Date |
June 30, 2026, 11:23 a.m. |
| Last Update |
June 30, 2026, 11:23 a.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月30日]
掲載 |
June 30, 2026, 11:23 a.m. |
NVD Vulnerability Information
CVE-2025-71327
| Summary |
Flowise contains an authentication bypass vulnerability in the unprotected /api/v1/account/register endpoint that allows unauthenticated attackers to create user accounts. Remote attackers can exploit this endpoint to register arbitrary accounts and authenticate to the system, gaining full API access without credentials.
|
| Publication Date |
June 26, 2026, 7:16 a.m. |
| Registration Date |
June 27, 2026, 4:31 a.m. |
| Last Update |
June 30, 2026, 3:44 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:flowiseai:flowise:3.0.1:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List