CVE-2025-29192CVE-2025-29192是Flowise应用中存在的一个高危跨站脚本(XSS)漏洞,CVSS评分为8.2分。该漏洞影响Flowise 3.0.5之前的所有版本。Flowise是一款开源的AI可视化工作流构建工具,允许用户通过拖拽方式创建基于大语言模型的应用。该漏洞允许攻击者通过精心构造的FORM元素和INPUT元素,在管理员查看聊天日志时触发恶意JavaScript代码执行。攻击者无需认证即可利用此漏洞,但需要管理员用户进行交互(如查看包含恶意内容的聊天记录)。一旦成功利用,攻击者可窃取管理员的会话凭证、敏感数据,或在管理员权限下执行未授权操作。该漏洞已在Flowise 3.0.5版本中修复,建议用户尽快升级。
该XSS漏洞位于Flowise的聊天日志查看功能中。攻击者通过在聊天消息中注入恶意的FORM和INPUT HTML元素,当管理员通过Flowise的Web界面查看聊天日志时,这些恶意元素将被渲染到浏览器中。由于Flowise未对聊天日志内容进行充分的HTML净化和编码处理,恶意脚本得以在管理员的浏览器上下文中执行。具体攻击流程为:1)攻击者通过任意可与Flowise交互的渠道(如聊天接口)提交包含恶意HTML标签的消息内容;2)恶意内容被持久化存储到聊天日志中;3)当管理员登录Flowise平台并查看聊天日志时,浏览器解析恶意HTML标签;4)嵌入在FORM/INPUT中的JavaScript代码(如onload、onfocus等事件处理器)在管理员浏览器中执行;5)攻击者可窃取管理员Cookie、会话令牌或执行其他恶意操作。该漏洞属于存储型XSS,危害性较大,因为管理员通常拥有系统最高权限。CVSS向量显示其网络攻击向量为AV:N(网络),攻击复杂度为AC:L(低),所需权限为PR:N(无需认证),但需要用户交互UI:R,作用域为S:C(已改变),机密性影响为C:H(高),完整性影响为I:L(低),可用性影响为A:N(无)。