Flowise: Kritische Passwort-Zurücksetzen-Lücke ermöglicht vollständige Kontoübernahme
In Flowise wurde eine kritische Schwachstelle (CVE-2025-58434) entdeckt, über die Angreifer ohne Authentifizierung gültige Passwort-Reset-Token für beliebige Nutzer erzeugen können. Ursache ist ein unsicherer forgot-password-Endpoint, der neben Nutzerinformationen auch direkt ein gültiges tempToken zurückliefert – ohne jegliche Verifikation.
Da dieses Token sofort im reset-password-Endpoint nutzbar ist, genügt die E-Mail-Adresse des Opfers, um dessen Passwort zu überschreiben und das komplette Konto zu übernehmen. Betroffen sind sowohl die Cloud-Version von Flowise als auch selbst gehostete Instanzen. Der CVSS-Score liegt bei 9.8.
Alle Versionen unter 3.0.5 sind verwundbar; das Update auf 3.0.6 behebt das Problem.