Kritische Sicherheitslücke in Flowise
- Warnmeldung
Die CSBW warnt vor einer kritischen Schwachstelle in der Open-Source-Plattform Flowise. Das Entwickler-Team stellt eine abgesicherte Version zur Verfügung.
© Adobe Stock
Update behebt die Lücke
Auf der Plattform GitHub veröffentlichten Entwickelnde eine Warnmeldung zur Sicherheitslücke CVE-2025-58434 in der Plattform Flowise. CVE-2025-58434 mit dem höchsten CVSS-Base-Score von 10/10 ermöglicht Angreifenden, User-Konten zu übernehmen. Da die Schwachstelle im Passwort-Reset-Mechanismus der Plattform liegt, können Kriminelle ohne großen Aufwand neue Zugangsdaten festlegen und so die Konten kapern.
Die Sicherheitslücke betrifft alle Versionen von Flowise vor dem Update 3.0.6. Mit 3.0.6 veröffentlichte das Entwickler-Team eine abgesicherte Version, die die Lücke schließt.
Empfehlungen
- Installieren Sie umgehend die Version 3.0.6 von Flowise.
- Wenn Sie das Update nicht unmittelbar installieren können, beachten Sie die folgenden Mitigationsmaßnahmen:
- Deaktivieren Sie den öffentlichen Zugriff auf den Endpunkt /api/v1/account/forgot-password.
- Vermeiden Sie die direkte Rückgabe von Zurücksetzen-Tokens oder Kontoinformationen über APIs.
- Stellen Sie sicher, dass Zurücksetzen-Tokens sicher per E-Mail und erst nach Validierungsschritten zugestellt werden.
- Implementieren Sie eine starke Token-Validierung mit kurzer Gültigkeitsdauer, Herkunftsverfolgung und einmaliger Verwendung.
- Überwachen Sie Protokolle auf ungewöhnliche oder umfangreiche Aktivitäten zur Passwortzurücksetzung.
- Setzen Sie die Multi-Faktor-Authentifizierung (MFA) für Konten mit hohen Berechtigungen ein.