漏洞描述
Flowise 是一个用于构建自定义大型语言模型(LLM)应用的开源可视化工具。该工具的/api/v1/get-upload-file和/api/v1/openai-assistants-file/download端点存在路径穿越漏洞,攻击者可通过chatId参数读取系统任意文件,包括数据库配置文件。该漏洞利用后可导致AI应用的核心数据泄露,包括API密钥等敏感信息,建议企业立即更新至3.0.6及以上版本。
Flowise /api/v1/openai-assistants-file/download 文件读取漏洞
PoC代码
暂无相关漏洞推荐
- 天地伟业 Easy7 /Easy7/rest/file/downloadWordRecord 文件读取漏洞
- 大华智能物联综合管理平台 /evo-apigw/evo-cirs/file/download 文件读取漏洞
- Flowise /api/v1/node-load-method/customMCP 命令执行漏洞(CVE-2025-8943)
- 天地伟业Easy7 /Easy7/rest/file/downloadNote 目录遍历漏洞
- POC CVE-2025-8943: Flowise < 3.0.1 - Remote Command Execution
- FlowiseAI Flowise 权限管理不当漏洞
- Flowise FlowiseAI 需授权 文件上传限制不当漏洞
- Flowise /api/v1/account/forgot-password 未授权访问漏洞(CVE-2025-58434)
- Flowise 任意文件读取漏洞
- FlowiseAI/Flosise SSRF漏洞
- FlowiseAI Flowise 未授权 代码注入漏洞
- Flowise /api/v1/openai-assistants-file/download 存在路径遍历漏洞
- FlowiseAI Flowise 未授权 路径遍历漏洞 可导致任意文件写入