Flowiseai’nin Flowise platformunu etkileyen kritik bir güvenlik açığı açıklandı ve saldırganların minimum çaba ile tam hesap devralmaları gerçekleştirmesine izin veren ciddi bir kimlik doğrulama baypası kusuru ortaya çıktı.
CVE-2025-58434 olarak izlenen güvenlik açığı, hem cloud.flowiseai.com adresindeki bulut dağıtımlarını hem de kendi kendine barındıran kurulumları etkiler, bu da bu AI ajan inşası platformunu kullanan kuruluşlar için yaygın bir güvenlik endişesi haline getirir.
Key Takeaways
1. Critical flaw in FlowiseAI exposes password reset tokens.
2. Affects both cloud and self-hosted deployments.
3. Deploy WAF protection and restrict API access until official patches become available.
Parola Sıfırlama Token Güvenlik Açığı
Güvenlik açığı,/API/V1/Hesap/Unutma-Password uç noktasında, uygun doğrulama olmadan API yanıtlarında hassas kimlik doğrulama belirteçlerini uygunsuz bir şekilde döndüren temel bir tasarım kusurundan kaynaklanmaktadır.
Bir saldırgan bir şifre sıfırlama isteği gönderdiğinde, uç nokta, mağdurun temptoken ve TokenExpiry zaman damgası da dahil olmak üzere tam kullanıcı ayrıntılarıyla yanıt verir ve amaçlanan e-posta tabanlı doğrulama sürecini etkili bir şekilde atlar.
Sömürü süreci yalnızca hedefin e -posta adresi hakkında bilgi gerektirir. Saldırganlar, CURL komutlarını kullanarak savunmasız uç noktaya basit bir yazı isteği yürütebilir: curl -i -x post https: //
Sunucu, parola sıfırlama işlemleri için gereken tempoken içeren tam kullanıcı nesnesini ortaya çıkararak oluşturulan 201 oluşturulan 201 durumla yanıt verir.
Elde edildikten sonra, maruz kalan tempoke, ek doğrulama yapmadan kurbanın kimlik bilgilerini değiştirmek için/API/V1/Hesap/Sıfırlama-Password uç noktasına göre hemen yeniden kullanılabilir.
Bu ikinci aşamalı saldırı, kurbanın e-postasını, durdurulan temptoken’i ve saldırganın seçilen şifresini içeren başka bir yazı isteği kullanıyor.
Sunucu, bu isteği 200 OK yanıtıyla işler ve hesap devralma sürecini tamamlar.
Güvenlik açığı, CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: H/I: H/A: H, hiçbir kimlik doğrulaması, düşük saldırı karmaşıklığı ve kalite boyunca yüksek etki gerektiren ağa erişilebilir sömürüyle CVSS 3.1 taban skoru (kritik) taşır.
Bu sınıflandırma, güvenlik açığının hem bulut hem de şirket içi dağıtımlara karşı yaygın otomatik sömürü potansiyelini yansıtmaktadır.
Güvenlik açığı güvenlik araştırmacıları ZADDY6 ve Arthurgervais tarafından bildirildi.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Flowiseai Flowise <3.0.5, Flowise Cloud (cloud.flowiseai.com), kendi kendine barındırılan/yerel dağıtımlar |
| Darbe | Tam Hesap Devralma (ATO) |
| Önkoşuldan istismar | Hedef e-posta adresi,/API/V1/Hesap/Unut-Password uç noktasına ağ erişimi, kimlik doğrulama gerekmez |
| CVSS 3.1 puanı | 9.8 (kritik) |
Azaltma
Bu kritik kusuru ele almak için, akış ve kendi kendine barındırılan yöneticiler aşağıdaki önlemleri derhal uygulamalıdır:
/API/V1/Hesap/Unut-Password uç noktasının HTTP yanıtında tempoken veya hassas hesap ayrıntılarını asla açıklamadığından emin olun.
Bunun yerine, {“Mesaj” gibi genel bir başarı mesajı döndürün: ”E -posta varsa, e -postanın kayıtlı olup olmadığına bakılmaksızın sıfırlama talimatlarını alırsınız.”}
Şifre sıfırlama belirteçlerinin yalnızca kullanıcının doğrulanmış e -posta adresi aracılığıyla sunulmasını zorunlu hale getirin. API bir kerelik tempoken oluşturmalı, Sunucu tarafında güvenli bir şekilde depolamalı ve ilk kullanım sırasında veya kısa bir son kullanma süresinden sonra geçersiz kılmalıdır.
Temptoken’in verilen e-posta için son oluşturulan jetonla eşleştiğini, kullanılmadığını ve talep eden aynı istemci/IP’den kaynaklandığını kontrol ederek/API/V1/Hesap/Sıfırlama-Password uç noktasına doğrulama ekleyin.
Her bir şifre sıfırlama isteğini, ilişkili IP adresleri ve zaman damgalarıyla birlikte günlüğe kaydetme, anormal desenlerin tespit edilmesine yardımcı olacaktır.
Hiçbir artık hata ayıklama uç noktasının hassas verileri ortaya çıkarmadığını doğrulamak için hem bulut hem de kendi kendine barındırılan dağıtım dallarının kapsamlı bir kod incelemesi yapın.
Otomatik numaralandırmayı veya kaba kuvvet denemelerini önlemek için her iki şifre sıfırlama uç noktasında sıkı oran sınırlaması uygulayın. Yukarıdaki tüm düzeltmeleri otomatikleştiren ve net yükseltme talimatlarını ileten 3.0.5 sürümü için bir yama sürümü planlayın.
Yama mevcut olana kadar, yöneticiler uygulamayı bir web uygulaması güvenlik duvarının (WAF) arkasına yerleştirmeyi ve API uç noktalarına erişimi yalnızca bilinen ağlara veya kimlik doğrulamalı kanallara kısıtlamayı düşünmelidir.
Organizasyonlar, doğrudan token maruziyetini ortadan kaldırarak ve sağlam doğrulama ve izleme uygulamalarını uygulayarak, hesap alma riskini azaltabilir ve kullanıcı kimlik bilgilerinin bütünlüğünü koruyabilir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.