Fiche CVE
CVE-2026-41275
Lien de réinitialisation de mot de passe envoyé sur HTTP non sécurisé dans Flowise
Cette vulnérabilité permet à un attaquant d'intercepter un lien de réinitialisation de mot de passe envoyé par FlowiseAI Flowise via HTTP non sécurisé, exposant ainsi les comptes des utilisateurs à un risque d'accès non autorisé. La faille est corrigée dans la version 3.1.0.
En bref
Résumé opérationnel
Réinitialisation de mot de passe non sécurisée
Un attaquant sur le même réseau que l'utilisateur peut intercepter le lien de réinitialisation de mot de passe, lui permettant d'accéder au compte de la victime.
Le risque est élevé, car un attaquant peut obtenir un accès non autorisé aux comptes des utilisateurs.
Suis-je concerné ?
Vérification d’impact
Commencez par identifier le produit, la version et l’exposition réelle dans votre périmètre.
Vous êtes concerné si vous utilisez FlowiseAI Flowise dans une version inférieure à 3.1.0. Vérifiez la présence des produits affectés et les versions déployées.
| Éditeur | Produit | Écosystème | Versions connues |
|---|---|---|---|
| FlowiseAI | Flowise | n/d | < 3.1.0 |
| flowiseai | flowise | cpe | n/d |
| npm | flowise | npm | 3.1.0 |
Remédiation
Procédure recommandée
-
Étape 1
Identifiez les instances de FlowiseAI Flowise dans votre périmètre.
-
Étape 2
Vérifiez si vos versions déployées sont affectées et si le composant est exposé.
-
Étape 3
Mettez à jour vers la version corrigée 3.1.0.
-
Étape 4
Si une mise à jour immédiate n'est pas possible, réduisez l'exposition du composant et renforcez la surveillance applicative.
Détails de suivi
Qualification et chronologie
CVE confirmée par une source officielle.
Détection possible en vérifiant la présence des produits affectés FlowiseAI / Flowise, flowiseai / flowise, npm / flowise. Contrôler les versions et l'exposition des composants référencés.
Version corrigée publiée : 3.1.0.
- Dernière mise à jour connue mise_a_jour
- Publication de la CVE publication
- Version corrigée publiée : 3.1.0. solution_available