Plataforma
nodejs
Componente
flowise
Corregido en
3.0.5
3.0.8
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en FlowiseAI. Esta falla permite a un atacante inyectar código JavaScript arbitrario a través de la entrada de mensajes. Cuando un administrador visualiza estos mensajes en la interfaz de usuario del flujo de trabajo, el script malicioso se ejecuta en el contexto del navegador del administrador, lo que podría resultar en el robo de credenciales, afectando versiones anteriores a 3.0.8. Se recomienda actualizar a la versión 3.0.8 para mitigar este riesgo.
La vulnerabilidad XSS almacenada en FlowiseAI presenta un riesgo significativo para la seguridad de los administradores. Un atacante puede inyectar código JavaScript malicioso en los mensajes almacenados, que se ejecutarán automáticamente cuando un administrador acceda a estos mensajes a través del botón "Ver Mensajes". Esto permite al atacante robar credenciales de administrador mediante el acceso al localStorage del navegador, comprometiendo potencialmente todo el sistema FlowiseAI. El impacto se amplifica si el administrador tiene acceso a información sensible o a sistemas críticos. Esta vulnerabilidad es similar a otros ataques XSS que han comprometido plataformas web, permitiendo a los atacantes ejecutar código arbitrario en el contexto del usuario.
La vulnerabilidad CVE-2025-50538 fue publicada el 3 de octubre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.3) indica un riesgo significativo. No se ha listado en el KEV de CISA. Se recomienda monitorear activamente los sistemas FlowiseAI para detectar posibles intentos de explotación.
Organizations utilizing FlowiseAI for workflow automation, particularly those with administrator accounts that have access to the "View Messages" feature, are at risk. Shared hosting environments where multiple users share the same FlowiseAI instance are also particularly vulnerable, as a compromised user could potentially exploit this vulnerability to impact other users.
• nodejs / server:
grep -r '<iframe srcdoc="' /opt/flowiseai/node_modules• generic web:
curl -I 'http://your-flowiseai-instance/admin/messages' | grep 'X-XSS-Protection'• generic web:
Review access and error logs for suspicious requests containing <script> or <iframe tags targeting the message input endpoint.
disclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar FlowiseAI a la versión 3.0.8, que incluye la corrección de la falla. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Una posible solución temporal es validar y sanitizar rigurosamente todas las entradas de usuario antes de mostrarlas en la interfaz de usuario del administrador. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de JavaScript sospechosos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los mensajes inyectados no se ejecuten como código JavaScript.
Actualice Flowise a la versión 3.0.5 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS. Puede actualizar a través de npm o descargando la última versión desde el repositorio oficial.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-50538 is a critical stored Cross-Site Scripting (XSS) vulnerability in FlowiseAI, allowing attackers to inject JavaScript code via message input, potentially stealing administrator credentials.
You are affected if you are using FlowiseAI versions prior to 3.0.8 and have administrator access to the workflow UI with the "View Messages" button.
Upgrade FlowiseAI to version 3.0.8 or later. As a temporary workaround, restrict access to the "View Messages" button.
As of 2025-10-03, there is no confirmed active exploitation, but public POCs are likely to emerge.
Refer to the FlowiseAI official security advisory for detailed information and updates: [https://flowiseai.com/security/advisories](https://flowiseai.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.