Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-56278

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-798 Credenciales embebidas en el software
Fecha de publicación:
30/06/2026
Última modificación:
06/07/2026

Descripción

*** Pendiente de traducción *** Flowise before 3.1.0 (affected versions 3.0.13 and earlier) uses a weak hardcoded default secret ('flowise') for the express-session middleware when the EXPRESS_SESSION_SECRET environment variable is not set (packages/server/src/enterprise/middleware/passport/index.ts). Because this default secret is publicly visible in the source code, an attacker can forge valid signed session cookies to impersonate any user and bypass authentication.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:flowiseai:flowise:*:*:*:*:*:*:*:* 3.1.0 (excluyendo)