CVE-2026-41268: Критична вразливість віддаленого виконання команд у Flowise
Вразливість CVE-2026-41268 у Flowise дозволяє віддалене виконання команд з правами root. Оновіть до версії 3.1.0 для захисту.
- CVSS
- 9.8 CRITICAL
- EPSS
- 96.06%
- Активно використовується
- немає в KEV
- Продукт
- flowise
Що відомо
Flowise до версії 3.1.0 містить критичну вразливість віддаленого виконання команд без автентифікації. Зловмисник може виконати довільні системні команди з правами root через спеціально сформований HTTP-запит, використовуючи обхід параметрів та ін’єкцію змінної середовища.
Бізнес-вплив
Вразливість дозволяє зловмисникам отримати повний контроль над контейнеризованим середовищем Flowise без необхідності автентифікації, що може призвести до компрометації системи, викрадення даних або подальшого розповсюдження атак у мережі. Для організацій, які використовують Flowise, це створює серйозний ризик безпеці інфраструктури.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно оновити Flowise до версії 3.1.0 або новішої, де вразливість усунена. Якщо оновлення неможливе, слід обмежити доступ до сервісу, ретельно перевірити журнали на ознаки експлуатації, а також застосувати заходи з мінімізації ризиків, такі як ізоляція контейнерів і моніторинг мережевого трафіку.