• 漏洞编号：CVE-2025-26319
• 漏洞等级：严重
• 漏洞标签：POC已公开
• 发布时间：2025-03-05

漏洞描述

Flowise是一个开源且易于使用的框架，旨在帮助开发者快速而灵活地构建大型语言模型（LLM）应用程序。其小于2.2.7的旧版本中‘attachments’接口存在一个任意文件上传漏洞，未经授权的远程攻击者可以利用该接口上传任意内容到指定位置，可覆盖应用配置，并有可能实现远程代码执行导致服务器失陷。

修复建议

升级至最新版本。

参考链接

https://github.com/dorattias/CVE-2025-26319

https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-h42x-xx2q-6v6g

https://avd.aliyun.com/detail?id=AVD-2025-26319