发布日期：2024-07-01
更新日期：2024-08-27

受影响系统：

Flowise Flowise 1.4.3

描述：

---

CVE(CAN) ID: CVE-2024-37145

Flowise是一个用于轻松构建LLM应用程序的工具。
Flowise 1.4.3版本的/api/v1/chatflows-streaming/id端点存在跨站脚本漏洞，攻击者可利用该漏洞通过特制的URL在用户会话页面上中注入Javascript，进而窃取信息、创建虚假弹窗并读取服务器上的任意文件。

<**>

建议：

---

厂商补丁：

Flowise
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://securitylab.github.com/advisories/GHSL-2023-232_GHSL-2023-234_Flowise/

浏览次数：92
严重程度：0（网友投票）