CVE-2025-55346

1 minute de lecture

Mis à jour : August 19, 2025

Vulnérabilité critique dans Flowise : Exécution de code JavaScript à distance

La plateforme d’IA Flowise présente une vulnérabilité critique (CVE-2025-55346) qui permet à des attaquants distants d’exécuter du code JavaScript arbitraire et non isolé dans le contexte de l’hôte. Ce risque est rendu possible par le traitement d’entrées contrôlées par l’utilisateur au sein d’une implémentation non sécurisée d’un constructeur de fonction dynamique. Une simple requête POST suffit à exploiter cette faille.

Points clés :

Description : Exécution de code JavaScript arbitraire à distance via une entrée utilisateur non sécurisée dans un constructeur de fonction dynamique.
Attaque : Nécessite une requête POST simple.
Impact : Exécution de code non isolé dans le contexte de l’hôte.
Score CVSS 3.1 : 9.8 (Critique)
- Base score : 9.8
- Impact score : 5.9
- Exploitability score : 3.9
- Vector string : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vulnérabilité :

CVE-2025-55346 : Injection de code JavaScript.

Recommandations :

Bien que l’article ne détaille pas explicitement les recommandations pour CVE-2025-55346, des mentions dans les médias sociaux suggèrent que la vulnérabilité est corrigée dans la dernière version de Flowise. Il est donc fortement recommandé de mettre à jour la plateforme vers la version la plus récente disponible pour atténuer ce risque.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-55346

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast