प्लेटफ़ॉर्म
nodejs
घटक
flowise
में ठीक किया गया
3.0.6
3.0.6
CVE-2025-59527 Flowise एप्लिकेशन के /api/v1/fetch-links एंडपॉइंट में एक SSRF (सर्वर-साइड रिक्वेस्ट फोर्जरी) भेद्यता है। यह भेद्यता हमलावरों को Flowise सर्वर का उपयोग प्रॉक्सी के रूप में करने और आंतरिक नेटवर्क वेब सेवाओं तक पहुंचने की अनुमति देती है। यह Flowise के संस्करण 3.0.5 और उससे पहले के संस्करणों को प्रभावित करता है। संस्करण 3.0.6 में इस समस्या का समाधान किया गया है।
यह SSRF भेद्यता हमलावरों को Flowise सर्वर को एक प्रॉक्सी के रूप में उपयोग करने की अनुमति देती है, जिससे वे आंतरिक नेटवर्क वेब सेवाओं तक पहुंच सकते हैं। इसका मतलब है कि वे संवेदनशील आंतरिक प्रशासनिक अंत बिंदुओं को उजागर कर सकते हैं, डेटा चोरी कर सकते हैं, या अन्य आंतरिक प्रणालियों पर हमला कर सकते हैं। हमलावर आंतरिक नेटवर्क संसाधनों की खोज करने और उनकी संरचना का पता लगाने के लिए इस भेद्यता का उपयोग कर सकते हैं। इस भेद्यता का उपयोग आंतरिक सेवाओं को उजागर करने और संभावित रूप से समझौता करने के लिए किया जा सकता है जो अन्यथा बाहरी दुनिया के लिए दुर्गम हैं।
इस भेद्यता के बारे में जानकारी 2025-09-15 को सार्वजनिक की गई थी। अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन SSRF भेद्यताएं अक्सर आंतरिक नेटवर्क संसाधनों तक अनधिकृत पहुंच प्राप्त करने के लिए उपयोग की जाती हैं। इस CVE को KEV में शामिल नहीं किया गया है। सार्वजनिक प्रूफ-ऑफ-कांसेप्ट (PoC) उपलब्ध होने की संभावना है, लेकिन वर्तमान में ज्ञात नहीं है।
Organizations deploying Flowise in environments with internal web services or APIs are at risk. Shared hosting environments where Flowise instances share the same network infrastructure are particularly vulnerable, as an attacker could potentially pivot from a compromised Flowise instance to other internal services. Legacy Flowise configurations that haven't been regularly updated are also at increased risk.
• nodejs: Monitor process execution for unusual outbound network connections originating from the Flowise process. Use ps aux | grep flowise to identify the process and then netstat -anp | grep <flowise_pid> to check connections.
• generic web: Examine access logs for requests to /api/v1/fetch-links with unusual or internal IP addresses in the URL. Use grep '/api/v1/fetch-links' access.log | grep <internal_ip>.
• generic web: Check response headers for signs of internal resource exposure. Look for headers that reveal internal server information or redirect to internal services.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.13% (32% शतमक)
CISA SSVC
CVSS वेक्टर
Flowise के संस्करण 3.0.6 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके /api/v1/fetch-links एंडपॉइंट तक पहुंच को सीमित करने पर विचार करें। सुनिश्चित करें कि Flowise सर्वर पर कोई भी आंतरिक वेब सेवाएं जो संवेदनशील जानकारी रखती हैं, बाहरी नेटवर्क से दुर्गम हैं। इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके SSRF हमलों को कम किया जा सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, /api/v1/fetch-links एंडपॉइंट पर एक अनुरोध भेजकर सत्यापित करें कि यह अब आंतरिक संसाधनों तक पहुंचने की अनुमति नहीं देता है।
Flowise को संस्करण 3.0.6 या उच्चतर में अपडेट करें। इस संस्करण में /api/v1/fetch-links एंडपॉइंट में SSRF भेद्यता के लिए एक सुधार शामिल है। अपडेट हमलावरों को अपने सर्वर को नेटवर्क सेवाओं तक पहुंचने के लिए प्रॉक्सी के रूप में उपयोग करने से रोकेगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-59527 Flowise एप्लिकेशन के /api/v1/fetch-links एंडपॉइंट में एक SSRF भेद्यता है, जो हमलावरों को आंतरिक नेटवर्क सेवाओं तक पहुंचने की अनुमति देती है।
यदि आप Flowise के संस्करण 3.0.5 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Flowise के संस्करण 3.0.6 में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो WAF का उपयोग करके /api/v1/fetch-links तक पहुंच को सीमित करें।
अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन SSRF भेद्यताएं अक्सर आंतरिक नेटवर्क संसाधनों तक अनधिकृत पहुंच प्राप्त करने के लिए उपयोग की जाती हैं।
Flowise टीम द्वारा जारी आधिकारिक सलाहकार के लिए Flowise के दस्तावेज़ या सुरक्षा घोषणाओं की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।