漏洞概述

重复公告：此公告已于2025年10月17日撤回，因为它是GHSA-7944-7c6r-55vv的重复公告。保留此链接是为了维护外部引用。

原始描述

Flowise在v3.0.4及之前版本存在远程代码执行漏洞，攻击者可通过"Supabase RPC Filter"字段中未经过滤的用户输入执行任意代码。

技术细节

受影响版本

• = 3.0.5

已修复版本

• 3.0.6

漏洞原理

该漏洞源于Flowise组件中对用户输入的不当处理，特别是在Supabase.ts文件的第237行处，系统未能对用户输入的"Supabase RPC Filter"字段进行充分的消毒处理，导致攻击者可以注入并执行恶意代码。

严重程度评估

CVSS v3.1评分：9.1（严重）

基础指标：

• 攻击向量：网络（AV:N）
• 攻击复杂度：低（AC:L）
• 所需权限：高（PR:H）
• 用户交互：无（UI:N）
• 范围：变更（S:C）
• 机密性影响：高（C:H）
• 完整性影响：高（I:H）
• 可用性影响：高（A:H）

弱点分类

• CWE-94：代码生成的不当控制（代码注入）
• 产品使用外部影响的输入构建代码段，但未能正确中和可能修改预期代码段语法或行为的特殊元素。

参考链接

• GHSA-7944-7c6r-55vv
• https://nvd.nist.gov/vuln/detail/CVE-2025-57164
• https://github.com/FlowiseAI/Flowise
• https://github.com/FlowiseAI/Flowise/blob/main/packages/components/nodes/vectorstores/Supabase/Supabase.ts#L237

时间线

• 国家漏洞数据库发布：2025年10月17日
• GitHub咨询数据库发布：2025年10月17日
• 审核时间：2025年10月17日
• 撤回时间：2025年10月17日
• 最后更新：2025年10月17日