Flowise: Kritische Passwort-Zurücksetzen-Lücke ermöglicht vollständige Kontoübernahme

In Flowise wurde eine kritische Schwachstelle (CVE-2025-58434) entdeckt, über die Angreifer ohne Authentifizierung gültige Passwort-Reset-Token für beliebige Nutzer erzeugen können. Ursache ist ein unsicherer forgot-password-Endpoint, der neben Nutzerinformationen auch direkt ein gültiges tempToken zurückliefert – ohne jegliche Verifikation.

Da dieses Token sofort im reset-password-Endpoint nutzbar ist, genügt die E-Mail-Adresse des Opfers, um dessen Passwort zu überschreiben und das komplette Konto zu übernehmen. Betroffen sind sowohl die Cloud-Version von Flowise als auch selbst gehostete Instanzen. Der CVSS-Score liegt bei 9.8.

Alle Versionen unter 3.0.5 sind verwundbar; das Update auf 3.0.6 behebt das Problem.

Related Posts

Israel ruft 700 chinesische Dienstfahrzeuge wegen Spionagegefahr zurück

Die israelischen Streitkräfte (IDF) haben laut Medienberichten rund 700 chinesische Fahrzeuge aus dem Fuhrpark hochrangiger Offiziere zurückgerufen. Hintergrund sind Sicherheitswarnungen, wonach in den Autos verbaute Kameras, Mikrofone, Sensoren und Kommunikationssysteme potenziell zur Datenübertragung oder Spionage missbraucht werden könnten.

Read More

FortiWeb: Schwachstelle für OS-Command-Injection wird aktiv ausgenutzt

Fortinet warnt vor einer OS-Command-Injection-Schwachstelle (CVE-2025-58034) in mehreren FortiWeb-Versionen, die bereits aktiv in freier Wildbahn ausgenutzt wird. Der Fehler ermöglicht authentifizierten Angreifern, über manipulierte HTTP-Requests oder CLI-Befehle beliebigen Code auf dem System auszuführen.

Read More

Kritische XSS-Lücke in Checkmk – Remote Sites können Zentrale kompromittieren

Sicherheitsforscherin Lisa Gnedt von SBA Research hat eine schwerwiegende Cross-Site-Scripting-Schwachstelle (CVE-2025-39663) in Checkmk entdeckt. Die Lücke betrifft Checkmk-Versionen vor 2.4.0p14 und 2.3.0p39 sowie ältere Branches ab 2.0.0. Der Fehler tritt in verteilten Monitoring-Umgebungen auf, wenn ein verbundenes Remote-System unzureichend validierte HTML-Ausgaben an die zentrale Instanz sendet.

Read More