CVE-2025-58434 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Flowise 的 `forgot-password` 接口存在**访问控制错误**。未经验证即可获取密码重置令牌。后果：攻击者可轻易**接管账户**，完全控制 LLM 应用环境。

🔍 **根本原因**：属于 **CWE-306**（缺少身份验证）。缺陷点在于密码重置逻辑未校验请求者身份，直接返回有效的重置令牌，违背了最小权限原则。

🎯 **影响范围**：受影响产品为 **Flowise**（FlowiseAI 开源 LLM 构建工具）。具体版本为 **3.0.5 及之前版本**。后续版本已修复。

💀 **黑客能力**：攻击者无需任何权限即可调用接口，获取重置令牌。进而**重置任意用户密码**，实现**账户接管**，获取最高权限，窃取数据或篡改 AI 应用逻辑。

📉 **利用门槛**：**极低**。CVSS 评分显示 **AV:N**（网络攻击）、**AC:L**（低复杂度）、**PR:N**（无需认证）。黑客只需知道目标 URL 即可发起攻击，无需用户交互。

📦 **现成 Exp**：**有**。ProjectDiscovery 已发布 Nuclei 模板，GitHub 上有具体的 PoC 代码（CVE-2025-58434.yaml）。虽然暂无明确在野大规模利用报道，但利用工具已公开。

🔎 **自查方法**：使用支持 CVE-2025-58434 的扫描器（如 Nuclei）进行检测。手动测试：向 `/forgot-password` 端点发送请求，检查是否**无需认证**即可返回有效的重置令牌。

🛡️ **官方修复**：**已修复**。官方安全公告 (GHSA-wgpv-6j63-x5ph) 已确认，并通过 Commit `9e178d6` 发布了补丁。建议立即升级至最新版本。

🚧 **临时规避**：若无补丁，建议**限制 `/forgot-password` 端点的访问权限**（如仅允许内网或添加 IP 白名单）。实施**速率限制**防止暴力枚举。加强监控该接口的异常调用。

⚡ **优先级**：**紧急**。CVSS 向量显示 **C:H/I:H/A:H**（高机密性/完整性/可用性影响）。作为 LLM 应用入口，账户接管风险极大，建议**立即升级**或实施缓解措施。