FlowiseAI: PoC pubblico per lo sfruttamento della CVE-2025-58434 (AL06/250915/CSIRT-ITA)

Data:
15 Settembre 2025

Impatto Sistemico

Alto (70.25)

Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2025-58434 – già sanata dal vendor – presente in Flowise, piattaforma open-source con interfaccia drag & drop per costruire flussi personalizzati basati su modelli linguistici di grandi dimensioni (LLM). Tale vulnerabilità riguarda l’endpoint forgot-password di Flowise e potrebbe consentire ad un utente malevolo di eludere i meccanismi di autenticazione sui sistemi target.

Tipologia

Authentication Bypass

Prodotti e/o versioni affette

Flowise, versioni precedenti alla 3.0.6

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.

Riferimenti

https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-wgpv-6j63-x5ph

CVE

CVE-ID
CVE-2025-58434

Change log

Versione	Note	Data
1.0	Pubblicato il 15-09-2025	15/09/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

15 Settembre 2025, 16:42

CSIRT Toscana

CSIRT Toscana