📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h
الثغرات

CVE-2026-41266

مرتفع ⚡ اختراق متاح
CWE-200 — نوع الضعف
نُشر: Apr 23, 2026  ·  آخر تحديث: Apr 30, 2026  ·  المصدر: NVD
CVSS v3
7.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, /api/v1/public-chatbotConfig/:id ep exposes sensitive data including API keys, HTTP authorization headers and internal configuration without any authentication. An attacker with knowledge just of a chatflow UUID can retrieve credentials stored in password type fields and HTTP headers, leading to credential theft and more. This vulnerability is fixed in 3.1.0.

🤖 ملخص AI

Flowise versions prior to 3.1.0 expose sensitive data including API keys, HTTP authorization headers, and internal configuration through an unauthenticated API endpoint. An attacker with only a chatflow UUID can retrieve stored credentials, leading to credential theft and potential lateral movement. This vulnerability poses significant risk to organizations deploying Flowise for AI/LLM applications, particularly those handling sensitive business logic or integrations.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 2, 2026 06:55
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations in financial services (banking sector under SAMA oversight), government agencies (NCA jurisdiction), healthcare providers, and energy sector (ARAMCO and subsidiaries) face significant risk if deploying Flowise for customer-facing AI chatbots or internal LLM workflows. The exposure of API keys and authorization headers could compromise integrations with critical backend systems, payment gateways, and sensitive databases. Government entities and critical infrastructure operators are particularly vulnerable due to the potential for credential theft leading to unauthorized access to classified or sensitive systems.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare and Medical Services Energy and Utilities Telecommunications E-commerce and Retail Insurance Education
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all Flowise instances in your environment and document their versions

2. Audit access logs for the /api/v1/public-chatbotConfig/:id endpoint to detect potential exploitation

3. Rotate all API keys, credentials, and HTTP authorization headers that may have been exposed

4. Implement network-level access controls to restrict access to Flowise instances



PATCHING:

1. Upgrade to Flowise 3.1.0 or later immediately when available

2. If upgrade is not immediately possible, disable or restrict access to the /api/v1/public-chatbotConfig/:id endpoint



COMPENSATING CONTROLS:

1. Implement Web Application Firewall (WAF) rules to block requests to /api/v1/public-chatbotConfig/:id endpoint

2. Deploy API gateway authentication layer requiring valid credentials for all API access

3. Implement IP whitelisting to restrict access to Flowise instances to known trusted networks

4. Enable comprehensive API logging and monitoring for all Flowise endpoints

5. Implement secrets management solution to store credentials outside of Flowise configuration



DETECTION:

1. Monitor for HTTP GET/POST requests to /api/v1/public-chatbotConfig/ with UUID parameters

2. Alert on successful responses containing 'apiKey', 'authorization', or 'password' fields from this endpoint

3. Track unusual access patterns to this endpoint from external IP addresses

4. Implement SIEM rules to detect credential extraction attempts
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع مثيلات Flowise في بيئتك وتوثيق إصداراتها

2. تدقيق سجلات الوصول لنقطة النهاية /api/v1/public-chatbotConfig/:id للكشف عن الاستغلال المحتمل

3. تدوير جميع مفاتيح API وبيانات الاعتماد ورؤوس التفويض HTTP التي قد تكون قد تعرضت

4. تنفيذ عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى مثيلات Flowise



التصحيح:

1. الترقية إلى Flowise 3.1.0 أو إصدار أحدث فوراً عند توفره

2. إذا لم يكن الترقية ممكنة فوراً، قم بتعطيل أو تقييد الوصول إلى نقطة النهاية



عناصر التحكم البديلة:

1. تنفيذ قواعد جدار حماية تطبيقات الويب لحظر الطلبات إلى نقطة النهاية

2. نشر طبقة مصادقة بوابة API تتطلب بيانات اعتماد صحيحة

3. تنفيذ القائمة البيضاء للعناوين IP لتقييد الوصول إلى الشبكات الموثوقة

4. تفعيل السجلات الشاملة ومراقبة جميع نقاط نهاية Flowise

5. تنفيذ حل إدارة الأسرار لتخزين بيانات الاعتماد خارج التكوين



الكشف:

1. مراقبة طلبات HTTP إلى نقطة النهاية مع معاملات UUID

2. التنبيه على الاستجابات الناجحة التي تحتوي على حقول حساسة

3. تتبع أنماط الوصول غير العادية من عناوين IP خارجية

4. تنفيذ قواعد SIEM للكشف عن محاولات استخراج بيانات الاعتماد
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 - 5.1.1: Access Control and Authentication ECC 2024 - 5.2.1: Cryptographic Controls ECC 2024 - 6.1.1: Incident Detection and Response ECC 2024 - 7.1.1: Data Protection and Privacy
🔵 SAMA CSF
SAMA CSF - Governance: Information Security Governance SAMA CSF - Protect: Access Control and Authentication SAMA CSF - Protect: Data Protection SAMA CSF - Detect: Security Monitoring and Logging
🟡 ISO 27001:2022
ISO 27001:2022 - A.5.2: User Access Management ISO 27001:2022 - A.5.3: Access Rights ISO 27001:2022 - A.8.2: Cryptography ISO 27001:2022 - A.8.3: Cryptographic Key Management ISO 27001:2022 - A.12.4: Logging
🟣 PCI DSS v4.0.1
PCI DSS 4.1: Render PAN unreadable PCI DSS 6.2: Security patches and updates PCI DSS 7.1: Limit access to system components PCI DSS 10.2: Implement automated audit trails
📦 المنتجات المتأثرة 1 منتج
flowiseai:flowise
📊 CVSS Score
7.5
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityN — None / Network
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.5
CWECWE-200
EPSS0.04%
اختراق متاح ✓ نعم
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-23
المصدر nvd
المشاهدات 2
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
exploit-available CWE-200
🏢 توجيهات البائع
🔗 https://github.com/FlowiseAI/Flowise/security/adviso... 🔗 https://github.com/FlowiseAI/Flowise/security/adviso...
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.