Flowise Auth Bypass CVE-2026-41276 允许攻击者重置密码

执行摘要

Flowise，一个开源的低代码平台，用于构建LLM应用程序，存在一个严重的认证绕过漏洞，允许远程攻击者在没有任何凭证的情况下重置密码。该漏洞被追踪为CVE-2026-41276，并由Zero Day Initiative (ZDI) 在2026年4月28日披露，CVSS得分为8.1。利用该问题不需要认证，问题存在于AccountService resetPassword端点。

技术分析

根据ZDI咨询报告（ZDI-26-300），漏洞存在于Flowise的AccountService.resetPassword方法中。具体漏洞源于在密码重置请求期间对认证令牌的验证不当。攻击者可以向resetPassword端点发送恶意HTTP请求，绕过预期的认证检查，并在不知道当前密码或拥有有效会话令牌的情况下重置目标用户的密码。

ZDI指出，该攻击可以通过网络远程利用，不需要用户交互或特殊权限。CVSS 8.1的评分反映了对机密性、完整性和可用性的高影响，因为成功的利用可以授予攻击者对被泄露账户的完全访问权限，包括任何相关的LLM工作流、API密钥和存储的数据。

Flowise被开发者和企业广泛用于构建无需深度编码的AI驱动应用程序。该平台在低代码AI开发中的流行使得这个漏洞特别令人关注，因为被泄露的账户可能会导致数据泄露或在连接的系统内进一步横向移动。

缓解措施与建议

截至咨询发布日期，Flowise维护者尚未发布官方补丁或变通方法。防御者应立即审计他们的Flowise部署，检查任何可疑的密码重置活动，特别是来自未识别的IP地址或非正常工作时间的重置。组织应将Flowise管理界面的网络访问限制在仅受信任的内部网络，使用防火墙规则或VPN。建议监控日志以查找针对多个账户的重复密码重置尝试。如果可能，暂时禁用密码重置功能，直到补丁可用。