事件经过
CVE-2025-71331(CVSS 6.1 中等)发布到 NVD 于 2026-06-20。Flowise 版本 3.0.8 之前的版本未充分过滤来自聊天消息或自定义代理函数输入的恶意 HTML/JavaScript,导致存储跨站脚本漏洞。可以向聊天提交消息的攻击者(已经过身份验证或通过公开暴露的聊天小部件)可以注入持久 JavaScript 有效负载,影响后续查看对话的所有用户。
影响分析
AI 代理聊天界面中的存储 XSS 可用于劫持已身份验证的管理员会话(启用整个 Flowise 实例的接管)、泄露包括敏感提示和响应的对话历史、或通过 Flowise 之前被作为目标的 XSS-to-RCE 链在底层主机上进行透视。如果注入的内容被馈送回 LLM,它也为提示注入创建了向量。
攻击途径
攻击者发送包含 iframe 有效负载的聊天消息(例如 <iframe src="javascript:alert(document.cookie)">)或其他包含 JavaScript 的 HTML 标签。由于聊天消息和自定义代理函数中的输入过滤不足,有效负载被存储并反映回其他用户的浏览器,在 Flowise 应用程序的上下文中执行任意 JavaScript
受影响系统
Flowise < 3.0.8
缓解措施
升级到 Flowise 3.0.8 或更高版本。公告:https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-4fr9-3x69-36wv