Flowise is a drag & drop user interface to build a customized large language model flow. Prior to 3.1.0, the Chatflow configuration file upload settings can be modified to allow the application/javascript MIME type. This lets an attacker upload .js files even though the frontend doesn’t normally allow JavaScript uploads. This enables attackers to persistently store malicious Node.js web shells on the server, potentially leading to Remote Code Execution (RCE). This vulnerability is fixed in 3.1.0.
Flowise versions before 3.1.0 allow attackers to bypass file upload restrictions and upload malicious JavaScript files by modifying MIME type configurations. This enables persistent storage of Node.js web shells leading to Remote Code Execution on affected servers.
يحتوي Flowise على ثغرة في التحقق من نوع ملف التحميل تسمح بتجاوز القيود الأمامية. يمكن للمهاجمين تعديل إعدادات MIME لتحميل ملفات JavaScript ضارة وتخزينها بشكل دائم على الخادم. هذا يمكّن من تنفيذ أوامر بعيدة عبر أصداف ويب Node.js ضارة.
إصدارات Flowise السابقة للإصدار 3.1.0 تسمح للمهاجمين بتجاوز قيود تحميل الملفات وتحميل ملفات JavaScript ضارة عن طريق تعديل إعدادات نوع MIME. يمكّن هذا من تخزين أصداف الويب الضارة بشكل دائم مما يؤدي إلى تنفيذ أوامر بعيدة على الخوادم المتأثرة.
Upgrade Flowise to version 3.1.0 or later immediately. Implement strict server-side file type validation that cannot be bypassed by MIME type manipulation. Restrict file upload directories with proper permissions and disable script execution in upload directories. Monitor upload activities and implement Web Application Firewall rules to block suspicious file uploads.
قم بترقية Flowise إلى الإصدار 3.1.0 أو أحدث فوراً. طبق التحقق الصارم من نوع الملف على جانب الخادم الذي لا يمكن تجاوزه بتعديل نوع MIME. قيّد أدلة تحميل الملفات بالأذونات المناسبة وعطّل تنفيذ البرامج النصية في أدلة التحميل. راقب أنشطة التحميل وطبق قواعد جدار الحماية لتطبيقات الويب لحجب تحميلات الملفات المريبة.