Plateforme
nodejs
Composant
flowise
Corrigé dans
3.0.6
3.0.6
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été identifiée dans l'application Flowise, plus précisément dans l'endpoint /api/v1/fetch-links. Cette faille permet à un attaquant d'utiliser le serveur Flowise comme proxy pour accéder à des services web internes et explorer leur structure de liens. Les versions concernées sont celles inférieures ou égales à 3.0.5. Une correction a été déployée dans la version 3.0.6.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les contrôles de sécurité et d'accéder à des ressources internes qui ne seraient normalement pas accessibles depuis l'extérieur. L'attaquant peut ainsi interroger des services web internes, récupérer des informations sensibles, et potentiellement compromettre des endpoints administratifs. Le risque est d'une exposition significative d'informations confidentielles et d'une prise de contrôle potentielle de systèmes internes. Cette vulnérabilité présente un risque élevé, similaire à d'autres failles SSRF qui ont permis l'accès à des bases de données et à des serveurs de configuration internes.
Cette vulnérabilité a été rendue publique le 15 septembre 2025. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature relativement simple de l'exploitation des vulnérabilités SSRF et de la disponibilité potentielle de preuves de concept publiques. Il n'y a pas d'indications d'une campagne d'exploitation active à ce jour, mais la vulnérabilité a été ajoutée au catalogue KEV de CISA.
Organizations deploying Flowise in environments with internal web services or APIs are at risk. Shared hosting environments where Flowise instances share the same network infrastructure are particularly vulnerable, as an attacker could potentially pivot from a compromised Flowise instance to other internal services. Legacy Flowise configurations that haven't been regularly updated are also at increased risk.
• nodejs: Monitor process execution for unusual outbound network connections originating from the Flowise process. Use ps aux | grep flowise to identify the process and then netstat -anp | grep <flowise_pid> to check connections.
• generic web: Examine access logs for requests to /api/v1/fetch-links with unusual or internal IP addresses in the URL. Use grep '/api/v1/fetch-links' access.log | grep <internal_ip>.
• generic web: Check response headers for signs of internal resource exposure. Look for headers that reveal internal server information or redirect to internal services.
disclosure
Statut de l'Exploit
EPSS
0.13% (percentile 32%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Flowise vers la version 3.0.6 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'accès à l'endpoint /api/v1/fetch-links via un pare-feu applicatif web (WAF) ou un proxy inverse, en bloquant les requêtes provenant de sources non fiables. Il est également recommandé de mettre en œuvre une validation stricte des URL fournies par l'utilisateur pour empêcher l'attaquant de spécifier des destinations internes. Après la mise à jour, vérifiez que l'endpoint /api/v1/fetch-links ne permet plus l'accès à des ressources internes non autorisées.
Mettez à jour Flowise à la version 3.0.6 ou supérieure. Cette version contient une correction pour la vulnérabilité SSRF dans le point de terminaison /api/v1/fetch-links. La mise à jour empêchera les attaquants d'utiliser votre serveur comme proxy pour accéder à des services internes du réseau.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-59527 décrit une vulnérabilité SSRF dans Flowise, permettant à un attaquant d'utiliser le serveur comme proxy pour accéder à des ressources internes. La vulnérabilité affecte les versions ≤3.0.5.
Vous êtes affecté si vous utilisez Flowise en version 3.0.5 ou inférieure. Vérifiez votre version et mettez à jour si nécessaire.
Mettez à jour Flowise vers la version 3.0.6 ou supérieure. En attendant, limitez l'accès à l'endpoint /api/v1/fetch-links.
Il n'y a pas d'indications d'une exploitation active à ce jour, mais la vulnérabilité est considérée comme potentiellement exploitable.
Consultez le site web de Flowise ou leur page de sécurité pour obtenir les informations officielles et les conseils de correction.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.