CVE-2025-71327
Kritisk

CVE-2025-71327: Kritisk Flowise autentificeringsfejl

Kritisk fejl i Flowise lader angribere oprette brugerkonti og få fuld adgang uden kodeord.

CVSS Score
9.1
Offentliggjort
25/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

Flowise er et open source-værktøj til at bygge AI-arbejdsgange (automatiserede processer med kunstig intelligens). En kritisk sikkerhedsfejl gør det muligt for hvem som helst på internettet at oprette en brugerkonto i systemet — uden at kende et kodeord eller have en invitation. Fejlen skyldes, at registreringsendpointet (en bestemt adresse i systemets API, dvs. programmeringsgrænsefladen) slet ikke er beskyttet af adgangskontrol. Når en angriber har oprettet sin konto, kan vedkommende logge ind og bruge hele systemets API frit. Fejlen er kategoriseret som CWE-306, hvilket betyder manglende godkendelse på en kritisk funktion.

Hvem rammer det?

Fejlen rammer alle virksomheder og organisationer, der kører Flowise og har det eksponeret mod internettet — eller mod et netværk, som uautoriserede brugere kan nå. Det gælder typisk:

  • Virksomheder der bruger Flowise til at bygge AI-chatbots eller automatiserede AI-processer
  • Udviklere og teams der har installeret Flowise på en server eller i skyen (f.eks. AWS, Azure eller en VPS)
  • Organisationer der har aktiveret brugerregistrering uden at have styr på netværkssegmentering (adskillelse af systemer)

Hvis din Flowise-installation kun kører lokalt på din egen computer og ikke er tilgængelig udefra, er risikoen lavere — men du bør stadig opdatere.

Hvad kan ske?

En angriber der udnytter fejlen kan:

  • Oprette egne brugerkonti i dit Flowise-system uden din viden
  • Få fuld adgang til API’et — og dermed læse, ændre eller misbruge dine AI-arbejdsgange og de data, de behandler
  • Eksfiltrere følsomme data (C=HIGH): Hvis dine AI-flows behandler kundedata, interne dokumenter eller fortrolig information, kan angriberen hente det ud
  • Manipulere dine AI-processer (I=HIGH): Angriberen kan ændre dine flows, indsætte falske svar eller sabotere automatiserede processer
  • Bruge adgangen som springbræt til andre systemer, som Flowise er forbundet til

Angrebet kræver ingen særlige tekniske evner og kan udføres af hvem som helst med internetadgang.

Hvor alvorligt er det?

CVSS-scoren er 9.1 ud af 10 — Kritisk. Det skyldes:

  • Netværksbaseret angreb: Kan udføres over internettet uden fysisk adgang
  • Lav kompleksitet: Angrebet er enkelt at gennemføre — ingen avancerede teknikker kræves
  • Ingen rettigheder nødvendige: Angriberen behøver hverken konto eller kodeord på forhånd
  • Ingen brugerinteraktion: Du eller dine medarbejdere behøver ikke klikke på noget for at blive ramt
  • Høj påvirkning på fortrolighed og integritet: Data kan stjæles og manipuleres

Den eneste grund til, at scoren ikke er 10.0, er at tilgængelighed (A=NONE) ikke er direkte påvirket — systemet går altså ikke nødvendigvis ned, men det kompromitteres.

Hvad gør jeg nu?

Handl hurtigt. Her er hvad du skal gøre i prioriteret rækkefølge:

  1. Tjek om du bruger Flowise: Spørg din IT-ansvarlige eller leverandør, om Flowise er installeret i jeres miljø.
  2. Afskær ekstern adgang midlertidigt: Hvis Flowise er tilgængeligt fra internettet, så bloker adgangen via din firewall (netværkssikkerhedsmur) eller VPN (krypteret forbindelsestunnel), mens du løser problemet.
  3. Opdater Flowise til seneste version: Installer den nyeste version fra Flowise’ officielle kilde, da opdateringen lukker hullet.
  4. Gennemgå eksisterende brugerkonti: Tjek om der er oprettet ukendte eller mistænkelige konti i systemet. Slet dem straks.
  5. Gennemgå API-aktivitet og logs: Se om der har været unormal aktivitet i systemets logfiler (registreringer af hændelser) de seneste uger.
  6. Skift adgangskoder og API-nøgler: Nulstil alle legitimationsoplysninger tilknyttet Flowise som en sikkerhedsforanstaltning.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Dette er en af de mest alvorlige typer fejl, fordi den ikke kræver nogen form for kodeord eller særlig viden at udnytte. Hvis du kører Flowise og det er tilgængeligt fra internettet, skal du handle inden for de næste 24-48 timer. Opdater til seneste version, gennemgå dine brugerkonti og overvej om Flowise overhovedet skal være tilgængeligt direkte fra internettet — eller om det bør ligge bag en VPN. Kontakt os gerne, hvis du er i tvivl om din eksponering.

Tidslinje

25/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2025-71327 registreres officielt i National Vulnerability Database med en kritisk CVSS-score på 9.1. Fejlen i Flowise' registreringsendpoint beskrives offentligt.
25/06/2026
Tekniske detaljer tilgængelige
Da fejlen ligger i et åbent og udokumenteret endpoint, er den tekniske detaljegrad tilstrækkelig til at angribere kan begynde at udforske og udnytte den umiddelbart efter offentliggørelse.
25/06/2026
Patch tilgængelig
Flowise udgiver en opdateret version, der lukker hullet i registreringsendpointet. Brugere opfordres til at opdatere øjeblikkeligt.
26/06/2026
Aktiv udnyttelse forventes
Sårbarheder af denne type — ingen autentificering krævet, lav kompleksitet — tiltrækker typisk automatiserede angrebsværktøjer (bots) inden for 24-72 timer efter offentliggørelse. Alle eksponerede installationer bør betragtes som i fare.

Konkrete eksempler

Angriber opretter admin-konto og overtager AI-flows

En angriber finder via en søgning på internettet (f.eks. via Shodan, et søgeværktøj til interneteksponerede systemer) en virksomheds Flowise-installation. Med et simpelt HTTP-kald til /api/v1/account/register opretter angriberen en ny konto med et selvvalgt kodeord. Angriberen logger ind og får fuld adgang til virksomhedens AI-chatbot, som er koblet til en intern vidensdatabase med fortrolige produktoplysninger — og henter dem ud.

Manipulation af AI-kundeservice

En angriber udnytter fejlen til at logge ind på en webshops Flowise-system, der driver en AI-kundeservicebot. Angriberen ændrer botens instruktioner, så den begynder at give kunder forkerte oplysninger om returret eller priser — eller omdirigerer brugere til en phishing-side (falsk hjemmeside der stjæler oplysninger). Virksomheden opdager det først, da kunder begynder at klage.

API-nøgler bruges som springbræt til andre systemer

Mange Flowise-installationer er konfigureret med API-nøgler til eksterne tjenester som OpenAI, databaser eller interne systemer. En angriber der får adgang via den falske konto, kan læse disse nøgler i systemets konfiguration og bruge dem til at tilgå de tilknyttede systemer — herunder potentielt databaser med kundedata eller betalingsoplysninger — fuldstændig uden for Flowise.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CWE-svaghedstyper

CWE-306

Original NVD-beskrivelse (engelsk)

Flowise contains an authentication bypass vulnerability in the unprotected /api/v1/account/register endpoint that allows unauthenticated attackers to create user accounts. Remote attackers can exploit this endpoint to register arbitrary accounts and authenticate to the system, gaining full API access without credentials.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2025-71327
Offentliggjort
25/06/2026
Sidst opdateret
25/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.