CVE-2026-56278
Kritisk

CVE-2026-56278: Kritisk sårbarhed i Flowise

Kritisk fejl i Flowise: Angribere kan logge ind som hvem som helst ved at forge en session-cookie uden kodeord.

CVSS Score
9.1
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-48 timer

Hvad er det?

Flowise er et open source-værktøj til at bygge AI-arbejdsgange og chatbots. I versioner op til og med 3.0.13 bruger Flowise en fast, hemmelig nøgle (‘flowise’) til at signere session-cookies (de små datafiler der husker, at du er logget ind). Problemet er, at denne hemmelige nøgle er synlig for alle i programmets kildekode. Det svarer til at skrive hovednøglen til din virksomhed på forsiden af en opslagstavle. En angriber kan bruge nøglen til at lave en falsk, men gyldig, login-cookie og dermed udgive sig for at være en hvilken som helst bruger — inklusive administratorer. Fejltypen hedder CWE-798 (‘Use of Hard-coded Credentials’).

Hvem rammer det?

Sårbarheden rammer alle virksomheder og enkeltpersoner der kører Flowise version 3.0.13 eller tidligere. Det gælder især hvis:

  • Du bruger Flowise til at bygge eller hoste AI-chatbots og automatiseringsflows.
  • Din Flowise-installation er tilgængelig via internettet (ekstern adgang).
  • Du ikke manuelt har sat miljøvariablen EXPRESS_SESSION_SECRET til en unik, stærk værdi.

Er din installation kun tilgængelig internt på dit netværk, er risikoen lavere — men opdatering anbefales stadig.

Hvad kan ske?

En angriber der udnytter fejlen kan:

  • Overtage administratorkonti uden at kende adgangskoder — og dermed få fuld kontrol over din Flowise-installation.
  • Læse og ændre dine AI-flows og chatbot-konfigurationer, herunder integrationer til andre systemer (f.eks. databaser, API-nøgler og interne tjenester).
  • Stjæle følsomme oplysninger der er gemt i Flowise, såsom API-nøgler til OpenAI eller andre tjenester.
  • Bruge din installation som springbræt til at angribe andre systemer i dit netværk.

Fortrolighed og dataintegritet er i høj risiko. Selve systemets tilgængelighed (nedetid) påvirkes ikke direkte af denne fejl.

Hvor alvorligt er det?

CVSS-scoren er 9,1 ud af 10 — Kritisk. Det er det næsthøjeste niveau. Vurderingen er så høj fordi:

  • Angrebet kan udføres over internettet uden fysisk adgang.
  • Det kræver ingen særlige rettigheder og ingen hjælp fra dig som bruger.
  • Det er teknisk enkelt at udføre — den hemmelige nøgle er offentligt tilgængelig i kildekoden.
  • Konsekvenserne for fortrolighed og dataintegritet er vurderet som høje.

En angriber behøver ikke nogen særlig viden eller dyrt udstyr for at gennemføre angrebet.

Hvad gør jeg nu?

Prioritér disse trin — helst inden for de næste 24-48 timer hvis din Flowise er tilgængelig fra internettet:

  1. Tjek din version: Log ind i Flowise og find versionsnummeret (typisk i bunden af grænsefladen eller i din installations-mappe). Er det 3.0.13 eller lavere, er du ramt.
  2. Opdatér til Flowise 3.1.0 eller nyere: Gå til den officielle Flowise-dokumentation eller dit installationsmiljø (f.eks. Docker Hub, npm) og opdatér til den nyeste version. Patch er tilgængelig nu.
  3. Sæt en stærk hemmelig nøgle straks: Uanset version skal du sætte miljøvariablen EXPRESS_SESSION_SECRET til en lang, tilfældig streng (mindst 32 tegn). Dette kan gøres mens du venter på at opdatere og reducerer risikoen øjeblikkeligt.
  4. Begræns adgangen midlertidigt: Hvis du ikke kan opdatere med det samme, så bloker ekstern adgang til Flowise via din firewall eller VPN, indtil opdateringen er på plads.
  5. Gennemgå logfiler: Bed din IT-ansvarlige eller leverandør om at gennemgå adgangslogge for usædvanlig aktivitet siden 30. juni 2026 for at sikre, at ingen har udnyttet fejlen.
Tidsfrist

Opdatér inden for 24-48 timer

Sådan ser Auroa det

Da den hemmelige nøgle har været offentligt synlig i kildekoden, skal du betragte alle eksisterende sessioner i din Flowise-installation som potentielt kompromitterede. Vi anbefaler, at du opdaterer til version 3.1.0 nu, sætter en stærk EXPRESS_SESSION_SECRET, og beder alle brugere om at logge ind igen. Kontakt os hos Auroa hvis du er usikker på, om din installation er eksponeret, eller hvis du har brug for hjælp til opdateringen.

Tidslinje

30/06/2026
CVE-2026-56278 offentliggjort
National Vulnerability Database (NVD) offentliggør sårbarheden med en kritisk CVSS-score på 9,1. Den hemmelige standardnøgle 'flowise' identificeres som årsagen.
30/06/2026
Patch frigivet i Flowise 3.1.0
Flowise udgiver version 3.1.0 der fjerner den hardkodede standardnøgle og kræver, at brugere selv sætter en sikker EXPRESS_SESSION_SECRET.
30/06/2026
Angrebsmetode offentligt tilgængelig
Da den hemmelige nøgle har været synlig i den åbne kildekode, er angrebsmetoden reelt offentlig tilgængelig fra det øjeblik, sårbarheden beskrives. Proof-of-concept-kode forventes hurtigt at cirkulere online.
01/07/2026
Øget risiko for aktiv udnyttelse
Erfaring fra lignende sårbarheder viser, at angrebsforsøg typisk eskalerer inden for 24-72 timer efter offentliggørelse. Ikke-opdaterede installationer med ekstern adgang er særligt udsatte.

Konkrete eksempler

Angriberen udgiver sig for administrator

En angriber finder Flowise-kildekoden på GitHub og noterer standardnøglen ‘flowise’. Med et simpelt script genererer angriberen en session-cookie der er signeret med denne nøgle, og som angiver, at indehaveren er en administrator. Angriberen indsætter cookien i sin browser og tilgår din Flowise-installation — uden nogensinde at have kendt et brugernavn eller kodeord. Derfra kan vedkommende se alle dine AI-flows, API-nøgler og integrationer.

Stjæling af API-nøgler til OpenAI eller andre tjenester

Mange virksomheder gemmer dyrebare API-nøgler (adgangskoder til betalte AI-tjenester som OpenAI) direkte i Flowise. En angriber der har fået adgang via den forfalskede cookie kan kopiere disse nøgler og enten misbruge dem til egne formål — på din regning — eller sælge dem videre. Skaden opdages typisk først når regningen fra AI-udbyderen ankommer.

Flowise som indgangsport til resten af virksomhedens netværk

Flowise er ofte integreret med interne databaser, filsystemer eller andre forretningssystemer. En angriber med administratoradgang til Flowise kan bruge disse integrationer som et springbræt til at bevæge sig videre ind i virksomhedens netværk, hente kundedata eller plante skadelig kode — uden at have brugt et eneste kodeord.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CWE-svaghedstyper

CWE-798

Original NVD-beskrivelse (engelsk)

Flowise before 3.1.0 (affected versions 3.0.13 and earlier) uses a weak hardcoded default secret (‘flowise’) for the express-session middleware when the EXPRESS_SESSION_SECRET environment variable is not set (packages/server/src/enterprise/middleware/passport/index.ts). Because this default secret is publicly visible in the source code, an attacker can forge valid signed session cookies to impersonate any user and bypass authentication.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-56278
Offentliggjort
30/06/2026
Sidst opdateret
30/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.