CVE-2025-55346 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Flowise 存在 **JS 注入漏洞**。用户可控输入流向不安全的动态函数构造函数，导致 **RCE（远程代码执行）**。后果：攻击者可在主机环境执行任意非沙盒 JS 代码。

🔍 **根本原因**：**CWE-94**（代码注入）。缺陷点在于使用了 **不安全的动态函数构造函数**，未对用户输入进行严格过滤或沙盒隔离。

🛡️ **影响对象**：**Flowise**（FlowiseAI 开源 LLM 应用构建工具）。具体受影响版本未在数据中明确，需关注官方更新。

💥 **黑客能力**：获得 **主机环境权限**。可执行任意 JS 代码，导致 **机密性、完整性、可用性全部丧失**（CVSS 评分极高）。

📉 **利用门槛**：**极低**。CVSS 向量显示：**无需认证**、**无需用户交互**、**攻击复杂度低**、**网络攻击面**。

📦 **Exp 现状**：数据中 **PoCs 为空**。但引用了 JFrog 第三方 advisory，建议密切关注社区是否有利用代码流出。

🔎 **自查方法**：检查是否部署了 **Flowise** 服务。扫描代码中是否存在 **eval()**、**new Function()** 等动态执行函数且未做输入校验。

🩹 **官方修复**：数据中未提供具体补丁链接或版本。建议立即查阅 Flowise 官方 GitHub 或 JFrog 引用的 advisory 获取最新修复方案。

🛑 **临时规避**：若无法升级，建议 **限制网络访问**（仅内网/可信 IP）、**禁用动态函数构造**、或部署 **WAF** 拦截恶意 JS 注入载荷。

⚡ **优先级**：**紧急**。CVSS 3.1 满分风险（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H），属于高危远程代码执行漏洞，需立即处置。