平台
nodejs
组件
flowise-embed
修复版本
2.1.1
2.0.0
CVE-2024-9148 描述了 flowise-embed 中存在的存储型跨站脚本漏洞 (XSS)。由于 Flowise Chat Embed < 2.0.0 中缺乏输入验证,攻击者可以注入恶意脚本。此漏洞影响 flowise-embed 的 2.1.1 之前的版本。建议立即升级至 2.0.0 版本以解决此安全问题。
此 XSS 漏洞允许攻击者在受影响的 flowise-embed 应用中注入恶意 JavaScript 代码。攻击者可以利用此漏洞窃取用户会话 cookie、重定向用户到恶意网站或执行其他恶意操作。由于漏洞是存储型的,这意味着恶意脚本将持久存在于数据库中,并影响所有访问受感染页面的用户。攻击者可能利用此漏洞进行钓鱼攻击,窃取敏感信息,或完全控制受影响的应用程序。
目前尚未公开发现针对 CVE-2024-9148 的公开利用程序 (PoC)。该漏洞已添加到 NVD 数据库,CISA 尚未将其列入 KEV。由于漏洞的严重性,建议密切关注该漏洞的动态,并及时采取缓解措施。
Websites and applications that integrate Flowise Chat Embed versions prior to 2.0.0 are at risk. This includes developers who have directly included the package in their projects, as well as users of platforms or services that utilize Flowise Chat Embed without proper security controls. Shared hosting environments where multiple websites share the same server infrastructure are particularly vulnerable, as a compromise of one website could potentially affect others.
• nodejs / supply-chain:
npm list flowise-embedIf the version is less than 2.1.1, the system is vulnerable. • generic web: Inspect the Flowise Chat Embed integration for any unusual JavaScript behavior or unexpected redirects. Examine the source code for any user-controlled input that is not properly sanitized before being rendered. • generic web: Review access logs for suspicious requests containing JavaScript payloads targeting the chat embed functionality.
disclosure
漏洞利用状态
EPSS
1.93% (83% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 flowise-embed 升级至 2.0.0 或更高版本。如果无法立即升级,可以考虑实施输入验证和输出编码措施,以防止恶意脚本注入。此外,可以配置 Web 应用防火墙 (WAF) 以检测和阻止 XSS 攻击。监控应用程序日志,查找可疑的 JavaScript 注入尝试,并定期扫描应用程序以查找潜在的漏洞。
升级 Flowise 到 2.1.1 或更高版本。此版本包含针对存储型 XSS 漏洞的修复。请确保验证和 sanitizar 所有用户输入,以防止未来攻击。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-9148 是 flowise-embed 中一个存储型跨站脚本漏洞,允许攻击者注入恶意 JavaScript 代码。
如果您正在使用 flowise-embed 的 2.1.1 之前的版本,则可能受到影响。请立即升级至 2.0.0 或更高版本。
升级至 flowise-embed 2.0.0 或更高版本是修复此漏洞的最佳方法。
目前尚未公开发现针对 CVE-2024-9148 的公开利用程序,但由于漏洞的严重性,建议密切关注。
请查阅 flowise 官方安全公告或 GitHub 仓库以获取更多信息。