Se ha revelado una vulnerabilidad crítica que afecta la plataforma Flowise de Flowiseai, revelando una fallas de derivación de autenticación severa que permite a los atacantes realizar adquisiciones de cuentas completas con un esfuerzo mínimo.
La vulnerabilidad rastreada como CVE-2025-58434 impacta tanto las implementaciones de la nube en Cloud.flowiseai.com como las instalaciones autohostadas, lo que lo convierte en una preocupación generalizada de seguridad para las organizaciones que utilizan esta plataforma de construcción de agentes de IA.
Control de llave
1. Fecha crítica en Flowiseai expone la contraseña de reinicio de tokens.
2. Afecta tanto la nube como las implementaciones autohostadas.
3. Implemente la protección de la WAF y restringe el acceso a la API hasta que los parches oficiales estén disponibles.
Vulnerabilidad de token de restablecimiento de contraseña
La vulnerabilidad proviene de una falla de diseño fundamental en el punto final/API/V1/Account/Forgot-Password, que devuelve inapropiadamente los tokens de autenticación confidencial en las respuestas de API sin una verificación adecuada.
Cuando un atacante envía una solicitud de restablecimiento de contraseña, el punto final responde con los detalles completos del usuario, incluido la marca de tiempo TempyKoken y Tokenexpiry de la víctima, evitando efectivamente el proceso de verificación basado en el correo electrónico previsto.
El proceso de explotación solo requiere conocimiento de la dirección de correo electrónico del objetivo. Los atacantes pueden ejecutar una solicitud de publicación simple al punto final vulnerable usando los comandos CURL: curl -i -x post https: /// api/v1/cuenta/olvidada -password -h “content -type: aplicación/json” -d ‘{“user”: {“correo electrónico”: “(correo electrónico protegido)”}}’.
El servidor responde con un estado creado de 201, exponiendo el objeto de usuario completo que contiene el Temptoken requerido para las operaciones de restablecimiento de contraseña.
Una vez obtenido, el Temptoken expuesto se puede reutilizar inmediatamente contra el punto final/API/V1/Account/Reset-Password para cambiar las credenciales de la víctima sin ninguna verificación adicional.
Este ataque de la segunda etapa utiliza otra solicitud de publicación que contiene el correo electrónico de la víctima, el Temptoken interceptado y la contraseña elegida del atacante.
El servidor procesa esta solicitud con una respuesta de 200 OK, completando el proceso de adquisición de la cuenta.
La vulnerabilidad lleva una puntuación base CVSS 3.1 de 9.8 (crítica) con el vector CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H, la explotación accesible para la red no requiere autenticación, complejidad de bajo ataque y resultando en un alto impacto a través de la confidentidad, y la disponibilidad accesible de red.
Esta clasificación refleja el potencial de la vulnerabilidad para una explotación automatizada generalizada contra las implementaciones de la nube y las instalaciones.
La vulnerabilidad se informó por investigadores de seguridad Zaddy6 y Arthurgervais.
Factores de riesgo Los productos afectados por el riesgo Flowiseai Flowise <3.0.5, Flowise Cloud (Cloud.flowiseai.com), injuntos/autohostados/locales ImplementsImpactComplete Cuenta TakeOver (ATO) Explote PrereReReSitSitSarget Organización de correo electrónico, Acceso a la red a/API/V1/Cuenta/Forgot-Password Endpoint, sin autenticación requerida CHECVSS 3.1 CUENTA 9.8 (CRITULARIO)
Mitigación
Para abordar esta falla crítica, Flowiseai y los administradores autohospedados deben implementar las siguientes medidas de inmediato:
Asegúrese de que el punto final/API/V1/Account/Olvided-Password nunca revele Temptoken ni ningún detalle de cuenta confidencial en su respuesta HTTP.
En su lugar, devuelva un mensaje de éxito genérico como {“mensaje”: “Si existe el correo electrónico, recibirá instrucciones de reinicio”.} Independientemente de si el correo electrónico está registrado.
Haga cumplir la entrega de la contraseña Restablecer tokens exclusivamente a través de la dirección de correo electrónico verificada del usuario. La API debe generar una única vez, almacenarlo de forma segura del lado del servidor y invalidarla al usar el primer uso o después de un corto período de vencimiento.
Agregue la validación al punto final/API/V1/Account/Reset-Password verificando que el Temptoken coincida con el último token generado para el correo electrónico dado, no se ha utilizado y se origina en el mismo cliente/IP que lo solicitó.
Registrar cada solicitud de restablecimiento de contraseña junto con direcciones IP asociadas y marcas de tiempo ayudará a detectar patrones anómalos.
Realice una revisión de código exhaustiva de las ramas de implementación en la nube y autohostada para confirmar que ningún punto final de depuración residual expone datos confidenciales.
Implemente la limitación de la tasa estricta en ambos puntos finales de restablecimiento de contraseña para frustrar los intentos de enumeración automatizada o fuerza bruta. Planifique una versión de parche para la versión 3.0.5 que automatiza todas las correcciones anteriores y comunique las instrucciones de actualización claras.
Hasta que el parche esté disponible, los administradores deben considerar colocar la aplicación detrás de un firewall de aplicación web (WAF) y restringir el acceso a los puntos finales de la API a redes o canales autenticados solo.
Al eliminar la exposición directa al token y hacer cumplir las prácticas sólidas de verificación y monitoreo, las organizaciones pueden mitigar el riesgo de adquisición de la cuenta y preservar la integridad de las credenciales de los usuarios.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
