Flowise 2.2.7에는 importChatflows API의 SQL 주입 취약점이 포함되어 있습니다. chatflow.id 값에 대한 유효성 검사가 충분하지 않기 때문에 인증된 사용자는 id 필드가 삭제되지 않은 SQL IN 절에 연결되어 자격 증명 테이블에서 블라인드 및 오류 기반 데이터 추출을 포함하여 임의 SQL이 실행될 수 있도록 조작된 JSON 가져오기 파일을 제공할 수 있습니다.
Flowise 2.2.7에는 importChatflows API의 SQL 주입 취약점이 포함되어 있습니다. chatflow.id 값에 대한 유효성 검사가 충분하지 않기 때문에 인증된 사용자는 id 필드가 삭제되지 않은 SQL IN 절에 연결되어 자격 증명 테이블에서 블라인드 및 오류 기반 데이터 추출을 포함하여 임의 SQL이 실행될 수 있도록 조작된 JSON 가져오기 파일을 제공할 수 있습니다.
| 소스 | CVSS 버전 | 기본 점수 | 심각도 | 벡터 문자열 | 평가일 |
|---|---|---|---|---|---|
| NVDNIST | 4.0 | 8.5 | HIGH | CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | 2026. 06. 25. |
| NVDNIST | 3.1 |
| 6.5 |
MEDIUM |
| CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
| 2026. 06. 25. |
| OSV3rd | 3.1 | 5.9 | MEDIUM | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L | 2026. 06. 24. |