CVE-2026-41267Flowise是一个用于构建定制化大语言模型流程的拖放式用户界面。在3.1.0版本之前,Flowise Cloud的账户注册端点存在不安全的批量赋值(JSON注入)漏洞。未经身份验证的攻击者可以在账户创建过程中注入服务器管理的字段和嵌套对象。这导致攻击者能够操纵客户端控制的元数据,如所有权信息、时间戳、组织关联和角色映射,从而在多租户环境中破坏信任边界,可能导致权限提升或数据泄露。
该漏洞的根源在于Flowise Cloud账户注册接口未能正确过滤用户输入的JSON数据,导致存在批量赋值漏洞。在正常业务逻辑中,服务器应当严格控制诸如用户ID、角色、所属组织、创建时间等敏感字段。然而,由于存在此漏洞,攻击者可以在发送注册请求的JSON数据包中,恶意添加或修改这些服务器端管理的字段。具体利用方式为:攻击者向注册端点发送特制的HTTP POST请求,其中包含额外的键值对(例如{'role': 'admin', 'organizationId': 'target_org'})。由于服务器未对这些字段进行白名单验证,直接将请求体绑定到用户对象模型,导致这些恶意数据被持久化到数据库中。这允许攻击者在无需认证的情况下,创建具有高权限的账户或接管特定组织,完全绕过应用程序的访问控制检查,实现从匿名用户到管理员的权限提升。