数据观澜系统运维
快捷导航
您的位置:首页>网络安全>>漏洞预警:FlowiseAI 高危漏洞(CVE-2025-58434)可导致完全账户接管(CVSS 9.8) >

漏洞预警:FlowiseAI 高危漏洞(CVE-2025-58434)可导致完全账户接管(CVSS 9.8)

  发布时间:2025-12-07 20:49:43   作者:玩站小弟   我要评论
开源生成式AI开发平台FlowiseAI广泛用于构建AI代理和LLM工作流)近日被发现存在高危漏洞,攻击者可在未认证状态下接管云环境和本地部署环境中的任意账户。漏洞详情该漏洞编号为CVE-2025-5 。

开源生成式AI开发平台FlowiseAI(广泛用于构建AI代理和LLM工作流)近日被发现存在高危漏洞,漏洞攻击者可在未认证状态下接管云环境和本地部署环境中的高管任意账户 。

漏洞详情

该漏洞编号为CVE-2025-58434,危漏CVSS评分为9.8分 ,可导源于平台的致完密码重置机制 。安全公告指出:"Flowise的亿华云全账密码找回端点(/api/v1/account/forgot-password)在未经认证或验证的情况下,直接返回包含有效密码重置临时令牌(tempToken)在内的户接敏感信息。攻击者可借此为任意用户生成重置令牌并直接修改密码  ,漏洞最终实现完全账户接管(ATO)  。高管"

技术分析

该漏洞端点仅需输入邮箱地址即可触发响应,建站模板危漏但API并未通过邮件安全发送重置链接,可导而是致完直接返回以下敏感信息 :

用户ID、姓名 、全账邮箱及凭证哈希值账户状态和时间戳有效的户接密码重置临时令牌及其有效期

安全公告特别强调 :"攻击者获取tempToken后 ,可立即在/api/v1/account/reset-password端点重复使用  ,香港云服务器漏洞无需邮件验证或用户交互即可重置目标账户密码 。"由于仅需获知受害者邮箱(通常可猜测或公开获取) ,未认证攻击者即可接管包括管理员在内的任意账户 。

攻击复现

公告提供了完整的攻击链复现步骤 :

(1) 获取重置令牌

复制curl -i -X POST https://<target>/api/v1/account/forgot-password \ -H "Content-Type: application/json" \ -d { "user":{ "email":"victim@example.com"}}1.2.3.

响应报文将包含有效tempToken

(2) 利用令牌重置密码

复制curl -i -X POST https://<target>/api/v1/account/reset-password \ -H "Content-Type: application/json" \ -d { "user":{ "email":"victim@example.com", "tempToken":"<redacted-tempToken>", "password":"NewSecurePassword123!" } }1.2.3.

当返回200 OK状态码时,受害者密码即被修改

风险影响

该漏洞被归类为"认证绕过/不安全的模板下载直接对象引用",具体影响包括:

完全账户接管(含高权限管理员账户)数据泄露与身份冒用(可访问组织敏感资产)无需用户交互(大幅降低攻击门槛)同时影响云环境和本地部署(扩大威胁面)

公告警告称:"由于攻击无需前置条件或用户交互,该漏洞极有可能被大规模利用 。"

缓解措施

目前FlowiseAI尚未发布补丁,3.0.5之前的所有版本均受影响 。建议采取以下临时防护措施:

禁止API响应返回重置令牌等敏感信息确保令牌仅通过安全邮件渠道传递返回通用成功消息以避免用户枚举实施单次有效 、高防服务器短生命期且绑定请求源的令牌记录并监控所有密码重置请求为敏感账户启用多因素认证(MFA)

在官方补丁发布前 ,管理员需严格实施临时解决方案,限制漏洞端点暴露 ,并密切监控重置操作 。正如公告所述:"该漏洞实质上允许任何未认证攻击者通过请求目标邮箱的重置令牌,源码库接管包括管理员在内的任意账户 。"

  • Tag:

相关文章

  • 基于区块链的数据泄漏检测系统

    作者 | 陈峻审校 | 重楼引言 在企业的日常运营中,数据泄漏在广义上是指未经授权或已被授权的人员,错误或恶意地访问、删除、修改或传输企业或个人数据,而引发的各种安全事件。除了系统自身软
    2025-12-07

  • 荣耀Note(探索荣耀Note的卓越性能与功能)

    荣耀Note是华为旗下的一款智能手机,它以其卓越的性能和功能吸引了无数用户。本文将深入探讨荣耀Note的特点和优势,并详细介绍其各方面的功能和应用。1.强大的处理器:享受流畅的使用体验荣耀Note配备
    2025-12-07

  • 戴尔P61G笔记本电脑的性能与特点(全面评估戴尔P61G笔记本电脑的功能、配置和性能)

    现今,笔记本电脑已经成为人们日常工作、学习和娱乐不可或缺的工具之一。戴尔P61G作为一款备受瞩目的新品,其出色的性能、出色的配置和独特的功能吸引了广大消费者的关注。本文将详细评估戴尔P61G笔记本电脑
    2025-12-07

  • Android手机游戏跑分出炉

    随着2014年接近尾声,各种年度榜单也纷纷揭晓。最近,多系统图形测试平台Futuremark就发布了Android设备游戏性能Top 100,让我们来看看究竟谁才是Android游戏性能之王吧!榜单中
    2025-12-07

  • CISO必看:六大IT风险管理框架怎么选

    在信息技术领域,评估和管理风险是一项至关重要的任务。合适的主动风险管理框架和方法论能够帮助企业减少主观猜测,准确识别和应对IT风险,从而确保业务的连续性、弹性和安全性。本文将对六大主流的IT风险管理框
    2025-12-07

  • 第三届 NVIDIA DPU 黑客松开启报名

    第三届 NVIDIA DPU 中国虚拟黑客松Hackathon)将于 6 月 28 日 - 6 月 30 日正式开启!作为备受广大开发者期待的年度赛事,它将提供与 NVIDIA 加速网络技术深度碰撞的
    2025-12-07

最新评论