Código HTML do Conteúdo
Post: A vulnerabilidade do token de senha FlowiseAI permite a aquisição da conta - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>A vulnerabilidade acrítica em FlowiseIA foi descoberta que permite que os invasores assumam as contas de usuário com um esforço mínimo.</p>
<p>A falha, rastreada como<a href="https://nvd.nist.gov/vuln/detail/CVE-2025-58434" rel="noreferrer noopener nofollow" target="_blank">CVE-2025-58434</a>afeta as implantações FlowiseAI hospedadas e auto-hospedadas na nuvem, representando riscos significativos para as organizações usando esta plataforma de automação de fluxo de trabalho de IA.</p>
<figure>
<table>
<thead>
<tr>
<th>Número cve</th>
<th>Produto afetado</th>
<th>Tipo de vulnerabilidade</th>
<th>CVSS 3.1 Pontuação</th>
</tr>
</thead>
<tbody>
<tr>
<td>CVE-2025-58434</td>
<td>Flowiseai (pacote NPM Flowise)</td>
<td>Divulgação de token de senha não autenticada</td>
<td>9.8 (crítico)</td>
</tr>
</tbody>
</table>
</figure>
<h2 id="h-critical-security-flaw-in-password-reset-mechanism"><strong>Falha crítica de segurança no mecanismo de redefinição de senha</strong></h2>
<p>A vulnerabilidade está dentro da funcionalidade de redefinição de senha do FlowIeAI, especificamente a/api/v1/conta/esquecia-passaWordEndPons, conforme a <a href="https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-wgpv-6j63-x5ph" rel="noreferrer noopener nofollow" target="_blank">relatório</a> pelo pesquisador de segurança.</p>
<p>Em vez de seguir as práticas seguras enviando apenas tokens de redefinição por e -mail, o Systems retorna as informações confidenciais do usuário na resposta da API, incluindo tokens de redefinição de senha válida.</p>
<p>Quando um invasor solicita uma redefinição de senha para qualquer endereço de email, o sistema responde com detalhes abrangentes do usuário, incluindo o ID do usuário, nome, email, credenciais de hash e, mais criticamente, um validTeptokenthat pode ser usado imediatamente para redefinir a senha da conta de destino.</p>
<p>Essa falha de design ignora completamente o mecanismo de segurança pretendido da verificação baseada em email.</p>
<p>A vulnerabilidade afeta as versões FlowIeAI abaixo de 3.0.5, com nenhum patches atualmente disponíveis. A questão afeta o serviço em nuvem em cloud.flowiseAI.com e implantações auto-hospedadas que expõem os terminais de API vulneráveis.</p>
<p>Explorar essa vulnerabilidade requer apenas o endereço de e -mail da vítima, que os atacantes podem adivinhar ou descobrir através do reconhecimento.</p>
<p>O processo de ataque envolve apenas dois <a href="https://gbhackers.com/hackers-exploit-http-2-flaw/" rel="noreferrer noopener" target="_blank">Http</a> solicitações. Primeiro, os invasores enviam uma solicitação de postagem para o terminal esquecido-passa-palavra com o endereço de e-mail do alvo. O sistema responde com um token de redefinição válido em vez de simplesmente confirmar a solicitação.</p>
<p>Segundo, os invasores usam esse token exposto no terminal de redefinição-passanha para definir uma nova senha para a conta da vítima.</p>
<p>Nenhuma verificação de email ou interação do usuário é necessária, tornando este um ataque completamente silencioso que as vítimas podem não notar até que tentem fazer login.</p>
<p>A vulnerabilidade recebeu a pontuação do ACVSS de 9,8, indicando gravidade crítica. A pontuação alta reflete a facilidade de exploração, pois não requer autenticação, nenhuma interação do usuário e possui baixa complexidade de ataque, fornecendo acesso completo às contas de usuário.</p>
<p>Essa falha permite que os invasores comprometam qualquer conta, incluindo contas administrativas ou de alto privilégio, potencialmente levando a violações de dados, <a href="https://gbhackers.com/oracle-tns-flaw-exposes-system-memory-to-unauthorized-access/" rel="noreferrer noopener" target="_blank">Acesso não autorizado</a> a fluxos de trabalho sensíveis de IA e compromisso organizacional completo.</p>
<p>O impacto da vulnerabilidade se estende além das contas individuais, pois as contas de administração comprometidas podem fornecer acesso a implantações organizacionais inteiras e dados associados.</p>
<p>As organizações que usam o FlowIeAI devem implementar imediatamente o monitoramento para obter atividades suspeitas de redefinição de senha e considerar restringir temporariamente o acesso à plataforma até que os patches estejam disponíveis.</p>
<p><strong>Encontre esta história interessante! Siga -nos<a href="https://www.linkedin.com/company/cybersecurity-news/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/cyber_press_org" rel="noreferrer noopener" target="_blank">X</a>Para obter mais atualizações instantâneas</strong>.</p>
</div></div>