基本信息
漏洞编号: CVE-2025-26319
危险等级: 高危
影响版本: Flowise < 2.2.7
受影响接口: attachments接口
验证状态: 已验证
修复状态: 官方已发布修复版本
漏洞详情
Flowise 是一个开源、易用的框架,旨在帮助开发者快速构建大型语言模型(LLM)应用程序。然而,其小于 2.2.7 的旧版本存在一个严重的安全漏洞:攻击者可以通过未授权访问 attachments 接口上传任意文件。此漏洞可能导致攻击者覆盖应用配置文件,甚至实现远程代码执行,从而完全控制目标服务器。
影响范围
影响版本
Flowise < 2.2.7
验证方法
- 访问受影响的
attachments接口。 - 尝试上传任意文件,并检查文件是否被成功保存到服务器指定目录。
- 验证是否出现配置被覆盖或代码执行的情况。
修复方案
方案一:版本升级 (推荐)
将 Flowise 升级至最新版本(>= 2.2.7)。官方补丁已修复此漏洞。
方案二:临时修复
在升级前,可通过以下临时措施降低风险:
- 限制
attachments接口的访问权限,仅允许可信来源访问。 - 在应用服务器上配置文件上传目录的严格权限,避免覆盖关键配置文件。