つみかさね

CVE-2026-41276

Critical(9.8)

CVE-2026-41276 — Flowise パスワードリセットバイパス

公開日: 2026-04-26データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
FlowiseFlowiseAI< 3.1.0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Flowiseのバージョンを確認する
  2. 23.1.0未満の場合は即座にアップデートする
  3. 3本日公開されたFlowise関連の他5件の脆弱性も合わせて確認する

影響対象

Flowise利用者

補足

  • -Flowise 3.1.0で6件のセキュリティ修正が含まれています
CVEFlowise認証バイパスLLM

概要

LLMフロー構築ツール「Flowise」のパスワードリセット機能に、認証バイパス脆弱性が存在します。

AccountServiceクラスのresetPasswordメソッドにおいて、パスワードリセットトークンが実際に生成されたかどうかの検証が行われていません。デフォルトではリセットトークンの値はnullであり、一度リセットした場合は空文字列になります。メールアドレスを知っている攻撃者は、nullまたは空文字列のリセットトークン値を含むリクエストを送信し、パスワードを任意の値にリセットできます。

CVSSベクトル

指標
CVSSスコア9.8(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限レベルなし
CWECWE-287(不適切な認証)

影響を受けるソフトウェア

製品ベンダー影響バージョン
FlowiseFlowiseAI3.1.0未満

修正バージョンと回避策

  • 修正: Flowise 3.1.0以降へアップデート
  • 回避策: パスワードリセットエンドポイント(/api/v1/account/reset-password)へのアクセスを制限

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-41138Flowise AirtableAgent RCECVSS 8.8CVE-2026-41277Flowise Mass AssignmentCVSS 8.8CVE-2026-41266Flowise APIキー漏洩CVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41276
GHSA:https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-f6hc-c5jr-878p
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。