CVE-2025-58434

plus petit que 1 minute de lecture

Mis à jour : September 15, 2025

Compromission de compte dans Flowise via un endpoint non sécurisé

Une vulnérabilité critique, identifiée sous le nom de CVE-2025-58434, affecte les versions 3.0.5 et antérieures de Flowise, une interface graphique pour la création de flux de modèles linguistiques.

Points clés :

La faille réside dans l’endpoint /api/v1/account/forgot-password.
Cet endpoint renvoie un tempToken de réinitialisation de mot de passe sans nécessiter d’authentification ni de vérification préalable.

Vulnérabilités :

CVE-2025-58434 : Permet à un attaquant d’obtenir un jeton de réinitialisation de mot de passe pour n’importe quel utilisateur en fournissant simplement son adresse e-mail. Ce jeton peut ensuite être utilisé pour réinitialiser le mot de passe de l’utilisateur et ainsi prendre le contrôle total de son compte.

Impact :

Cette vulnérabilité affecte la plateforme cloud de Flowise (cloud.flowiseai.com) ainsi que les déploiements locaux ou auto-hébergés qui exposent cet endpoint API.

Recommandations :

Mettre à jour Flowise vers une version corrigée pour éliminer cette faille de sécurité.
Si une mise à jour n’est pas immédiatement possible, il est recommandé de restreindre l’accès à l’endpoint /api/v1/account/forgot-password pour les déploiements exposés publiquement.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-58434

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast