Açık kaynaklı bir yapay zeka iş akışı otomasyon aracı olan Flowiseai’de ciddi bir güvenlik açığı keşfedildi ve kullanıcıları tam hesap uzlaşma riskine maruz bıraktı. CVE-2025-58434 olarak izlenen bu güvenlik açığı, hem Flowiseai’nin bulutla barındırılan sürümünü hem de ilgili API uç noktalarını ortaya çıkaran kendi kendine barındıran dağıtımları etkiler.
Flowiseai güvenlik açığı, uygulamanın şifre sıfırlama işlevine, özellikle de /API/V1/Hesap/Unutma-Password uç nokta. Kusur, kritik olarak nitelendirilen 9.8 CVSS v3.1 puanı taşıyan, kimliği doğrulanmamış şifre sıfırlama token açıklaması olarak kategorize edilir. Güvenlik açığına atanan vektör dizesi: CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H.
Güvenlik Araştırmacısı Henryhengzj tarafından açıklandı ve GHSA-WGPV-6J63-X5PHbu sorun 3.0.5’in altındaki tüm Flowiseai sürümlerini etkiler ve şu andan itibaren resmi bir yama yayınlanmamıştır.
CVE-2025-58434: Flowiseai Parola Sıfırlama Kusur
Güvenlik açığının özü, Flowiseai’nin şifre sıfırlama isteklerini nasıl ele aldığı konusunda yatmaktadır. Bir kullanıcı bir şifre sıfırlama başlattığında, e -posta yoluyla (standart en iyi uygulamalara göre) güvenli bir şekilde sıfırlama jetonu göndermek yerine, API doğrudan hassas hesap bilgileri içeren bir JSON yanıtı döndürür. Bu, kullanıcının kimliğini, adını, e -posta adresini, karma kimlik bilgilerini, hesap durumu ve en kritik olarak, geçerli bir şifre sıfırlama jetonunu (tempoken) ve son kullanma zaman damgası içerir.
Bu uygulama kusuru, kimlik doğrulanmamış saldırganların herhangi bir kullanıcının e -posta adresini vermesine izin verir, bu da tahmin edilebilir veya kamuya açık olarak bilinebilir ve bu hesap için geçerli bir şifre sıfırlama jetonu almasına izin verir. Bu jetonu kullanarak, bir saldırgan parolayı hemen başka bir uç noktadan sıfırlayabilir (/API/V1/Hesap/Sıfırlama-Password) ve herhangi bir doğrulama veya kullanıcı etkileşimi olmadan kurbanın hesabına tam erişim elde edin.
Sömürü minimum çaba gerektirir
Bir kavram kanıtı (POC), bu güvenlik açığından yararlanmanın ne kadar basit olduğunu gösterir:
- Kurbanın e -postasıyla bir şifre sıfırlama isteği gönderin.
- Sıfırlama jetonunu içeren bir yanıt alın (temptoken).
- Parolayı değiştirmek ve erişim kazanmak için jeton kullanın.
Bu kusur, idari ayrıcalıklara sahip olanlar da dahil olmak üzere her hesabı potansiyel uzlaşmaya maruz bırakarak tam bir kimlik doğrulama bypass ve güvensiz doğrudan nesne maruziyetini temsil eder.
Flowiseai’deki güvenlik açığı şunları etkiler:
- Buluta barındırılan sürüm cloud.flowiseai.com
- Aynı API uç noktalarını ortaya çıkaran 3.0.5’in altında bir sürüm çalıştıran kendi kendine barındırılan herhangi bir dağıtım
Önceden erişim veya kullanıcı eylemi gerekmediğinden ve tek ön koşul bir kullanıcının e -posta adresi bilgisi olduğundan, sömürü riski son derece yüksektir.
Güvenlik Önerileri
CVE-2025-58434’ün şiddeti göz önüne alındığında, FlowIseai kullanan kuruluşların aşağıdakileri dahil olmak üzere hemen hafifletme adımları atmaları istenir:
- Kamu erişimini devre dışı bırakma /API/V1/Hesap/Unutma-Password Bir yama mevcut olana kadar uç nokta.
- API’ler aracılığıyla sıfırlama jetonlarının veya hesap bilgilerinin doğrudan iadesinden kaçının.
- Sıfırlama belirteçlerinin e -posta yoluyla ve yalnızca doğrulama adımlarından sonra güvenli bir şekilde teslim edilmesini sağlayın.
- Kullanıcı numaralandırmasını önlemek için şifre sıfırlama isteklerine jenerik yanıtlar kullanma.
- Kısa son kullanma, menşe izleme ve bir kerelik kullanım ile güçlü jeton doğrulamasının uygulanması.
- Olağandışı veya yüksek hacimli şifre sıfırlama etkinliği için günlüklerin izlenmesi.
- Yüksek ayrı hesaplar için çok faktörlü kimlik doğrulama (MFA) uygulamak.
En son güncellemeden itibaren Flowiseai koruyucularından düzeltme veya yama mevcut değildir. Etkilenen sürümleri çalıştıran kuruluşlar, hesap devralma olaylarından kaçınmak için derhal telafi eden kontroller uygulamalıdır.