CVE-2026-2095 — 神龙十问 AI 深度分析摘要

🚨 **本质**：身份验证绕过漏洞。 💥 **后果**：攻击者可**未经验证**获取任意用户令牌，直接**冒充任何用户**登录系统，彻底破坏系统安全性。

🔍 **CWE**：CWE-288（身份验证绕过）。 📍 **缺陷点**：Flowring Agentflow 平台的**身份验证机制**存在缺陷，导致验证逻辑被绕过。

🏢 **厂商**：中国华苓（Flowring）。 📦 **产品**：Agentflow（智能流程自动化 RPA 平台）。

👮 **权限**：获取**任意用户身份验证令牌**。 📂 **数据**：以**任何用户身份**登录，意味着可访问所有权限范围内的数据，危害极大。

📉 **门槛**：**极低**。 🔑 **条件**：无需认证（PR:N）、无需用户交互（UI:N）、网络远程即可利用（AV:N）。

🧪 **Exp**：当前数据中 **PoC 列表为空**。 🌍 **在野**：暂无明确在野利用报告，但鉴于 CVSS 满分潜力，需高度警惕。

🔎 **自查**：检查是否运行 Flowring Agentflow 服务。 📡 **扫描**：关注身份验证接口的异常响应，或尝试构造绕过请求测试令牌获取。

🛡️ **官方**：有厂商建议链接（forum.flowring.com）。 📝 **状态**：建议查阅官方论坛获取最新补丁或缓解措施，数据中未直接提供补丁链接。

🚧 **临时规避**： 1. 限制网络访问，仅允许可信 IP。 2. 启用 WAF 规则拦截异常认证请求。 3. 参考官方论坛缓解建议。

🔥 **优先级**：**紧急**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H（高危/严重）。建议立即排查并应用缓解措施。