数据观澜IT资讯
快捷导航
您的位置:首页>网络安全>>漏洞预警:FlowiseAI 高危漏洞(CVE-2025-58434)可导致完全账户接管(CVSS 9.8) >

漏洞预警:FlowiseAI 高危漏洞(CVE-2025-58434)可导致完全账户接管(CVSS 9.8)

  发布时间:2025-12-07 20:48:25   作者:玩站小弟   我要评论
开源生成式AI开发平台FlowiseAI广泛用于构建AI代理和LLM工作流)近日被发现存在高危漏洞,攻击者可在未认证状态下接管云环境和本地部署环境中的任意账户。漏洞详情该漏洞编号为CVE-2025-5 。

开源生成式AI开发平台FlowiseAI(广泛用于构建AI代理和LLM工作流)近日被发现存在高危漏洞,漏洞攻击者可在未认证状态下接管云环境和本地部署环境中的高管任意账户。

漏洞详情

该漏洞编号为CVE-2025-58434,危漏CVSS评分为9.8分,可导源于平台的致完密码重置机制 。安全公告指出:"Flowise的免费模板全账密码找回端点(/api/v1/account/forgot-password)在未经认证或验证的情况下  ,直接返回包含有效密码重置临时令牌(tempToken)在内的户接敏感信息。攻击者可借此为任意用户生成重置令牌并直接修改密码,漏洞最终实现完全账户接管(ATO) 。高管"

技术分析

该漏洞端点仅需输入邮箱地址即可触发响应 ,服务器租用危漏但API并未通过邮件安全发送重置链接 ,可导而是致完直接返回以下敏感信息 :

用户ID、姓名 、全账邮箱及凭证哈希值账户状态和时间戳有效的户接密码重置临时令牌及其有效期

安全公告特别强调 :"攻击者获取tempToken后,可立即在/api/v1/account/reset-password端点重复使用,香港云服务器漏洞无需邮件验证或用户交互即可重置目标账户密码 。"由于仅需获知受害者邮箱(通常可猜测或公开获取)  ,未认证攻击者即可接管包括管理员在内的任意账户 。

攻击复现

公告提供了完整的攻击链复现步骤 :

(1) 获取重置令牌

复制curl -i -X POST https://<target>/api/v1/account/forgot-password \ -H "Content-Type: application/json" \ -d { "user":{ "email":"victim@example.com"}}1.2.3.

响应报文将包含有效tempToken

(2) 利用令牌重置密码

复制curl -i -X POST https://<target>/api/v1/account/reset-password \ -H "Content-Type: application/json" \ -d { "user":{ "email":"victim@example.com", "tempToken":"<redacted-tempToken>", "password":"NewSecurePassword123!" } }1.2.3.

当返回200 OK状态码时 ,受害者密码即被修改

风险影响

该漏洞被归类为"认证绕过/不安全的源码下载直接对象引用",具体影响包括 :

完全账户接管(含高权限管理员账户)数据泄露与身份冒用(可访问组织敏感资产)无需用户交互(大幅降低攻击门槛)同时影响云环境和本地部署(扩大威胁面)

公告警告称 :"由于攻击无需前置条件或用户交互,该漏洞极有可能被大规模利用  。"

缓解措施

目前FlowiseAI尚未发布补丁,3.0.5之前的所有版本均受影响 。建议采取以下临时防护措施 :

禁止API响应返回重置令牌等敏感信息确保令牌仅通过安全邮件渠道传递返回通用成功消息以避免用户枚举实施单次有效 、云计算短生命期且绑定请求源的令牌记录并监控所有密码重置请求为敏感账户启用多因素认证(MFA)

在官方补丁发布前,管理员需严格实施临时解决方案,限制漏洞端点暴露,并密切监控重置操作。正如公告所述 :"该漏洞实质上允许任何未认证攻击者通过请求目标邮箱的重置令牌 ,模板下载接管包括管理员在内的任意账户。"

  • Tag:

相关文章

  • 网络资产攻击面管理(CAASM)成安全新解法

    2022年6月6-9日,被誉为安全行业“奥林匹克”的RSA Conference2022在旧金山召开,作为全球顶级的网络安全大会,RSAC2022吸引全球网络安全企业、专家、大咖共聚一堂,探讨当下热门
    2025-12-07

  • 游戏设置独立显卡运行

    很多小伙伴的的电脑都是双显卡运行的,系统也默认设置为自动的双显卡运行,这个时候玩游戏突然改变了画质就显得别扭,那么该如何设置游戏时独立显卡运行呢?其实只要我们在显卡设置里更改一下就可以了,具体的教程下
    2025-12-07

  • win7怎么升级到win10系统

    自2020年1月14日开始,微软宣布正式停止对win7系统的支持,那么以后将不会对win7系统进行安全修复和更新。而继续使用win7系统将会极大的增加病毒和恶意软件攻击的风险,小编建议更新win10系
    2025-12-07

  • 电脑宽带连接651错误的解决方法

    很多小伙伴打开电脑连接宽带的时候,电脑提示错误651,这是什么情况呢?出现651是由于用户终端电脑与网通局端设备连接不通所导致的,有可能是外部断线或者设备出了问题,我们可以联系运营商解决,或者检查一下
    2025-12-07

  • 网络安全十大安全漏洞

    在学习中,总会有些书籍给我们总结一些比较有价值的知识。十大安全漏洞,就是在学习过程中,整理有关安全书籍摘录整理而来,供大家参考。1,弱口令:所谓弱口令就是容易被猜测或重复的口令,弱口令会对信息安全造成
    2025-12-07

  • win10重装系统后不能上网了

    在重装完系统以后,电脑总会出现这样那样的问题,今天小编就遇到一个重装完系统后,无法上网,网络连接不上,这个问题需要怎么去解决呢,快来看看详细的教程吧~win10重装系统后不能上网了:1、我们在电脑上按
    2025-12-07

最新评论