Rilevata vulnerabilità in Flowise (AL01/260701/CSIRT-ITA)
Data:
1 Luglio 2026
Sintesi
Rilevata una vulnerabilità con gravità “critica” in Flowise, piattaforma open-source con interfaccia drag & drop per costruire flussi personalizzati basati su modelli linguistici di grandi dimensioni (LLM). Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di forgiare cookie di sessione validi e impersonare utenti arbitrari, aggirando i meccanismi di autenticazione sui sistemi interessati.
Impatto Sistemico
Alto (65.51)
Tipologia
- Authentication Bypass
- Information Disclosure
Prodotti e versioni affette
Flowise, tutte le versioni precedenti alla 3.1.0
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
CVE
| CVE-ID |
|---|
| CVE-2026-56278 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 01-07-2026 | 01/07/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
1 Luglio 2026, 11:38
CSIRT Toscana