【漏洞通报】Flowise任意文件读取漏洞

漏洞情况

近期，火山信安实验室监测发现，，开源低代码AI平台Flowise（版本≤2.2.6）存在高危任意文件读取漏洞（QVD-2025-35890）。攻击者可利用该漏洞绕过身份验证，通过构造恶意请求读取服务器上的敏感文件（如数据库配置文件、密码文件等），进而导致数据泄露或系统沦陷。

0x01漏洞利用方式

攻击者可通过在请求参数中注入../等路径遍历字符，绕过服务器对文件路径的校验机制，直接跳转至系统根目录或其他敏感路径，读取非预期文件内容——若服务器未对路径进行规范化处理，可能返回Linux系统下的/etc/passwd或Windows系统下的C:\Windows\win.ini等核心文件；攻击者还可结合已知的敏感文件路径（如数据库配置文件db_params.php、SSH密钥文件等），通过漏洞直接下载关键文件，窃取系统账号、密码等核心凭据；更严重的是，若目标系统同时存在任意文件写入漏洞（如CVE-2025-26319），攻击者可先读取关键配置信息，再植入恶意脚本或后门程序，实现持久化控制并横向渗透内网环境。

0x02影响范围

• Flowise ≤ 2.2.6

0x03修复方案

1. 升级到最新版本
2. 在代码层面对用户输入的路径参数进行严格校验，过滤../等特殊字符
3. 运行Flowise服务的账户应限制为最低必要权限，避免使用root或管理员账户
4. 部署SIEM系统实时分析API访问日志，发现异常路径遍历行为立即告警
5. 使用工具（如Semgrep、CodeQL）扫描代码库，提前发现潜在的文件操作漏洞

来源自：广州盈基信息官网