CVE-2026-2096 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Flowring Agentflow 平台存在**缺少身份验证**的安全漏洞。 💥 **后果**：未经验证的远程攻击者可**读取、修改和删除**数据库内容，数据完整性与机密性彻底丧失。

🔍 **CWE ID**：**CWE-288**（身份验证绕过/缺失）。 🛠️ **缺陷点**：关键操作接口或数据库访问入口**未实施有效的身份认证机制**，导致任何人都能直接访问。

🏢 **厂商**：**Flowring**（中国华苓）。 📦 **产品**：**Agentflow**（智能流程自动化 RPA 平台）。 ⚠️ **注意**：数据未明确具体版本号，需检查所有部署实例。

👮 **权限**：**远程**、**无需认证**（PR:N）。 📂 **数据**：拥有**高**机密性（C:H）、**高**完整性（I:H）、**高**可用性（A:H）影响。 👉 **能力**：黑客可**全权操控**数据库，删库、篡改数据、窃取敏感流程信息。

🚪 **利用门槛**：**极低**。 📊 **CVSS**：**AV:N**（网络可攻击）、**AC:L**（攻击复杂度低）、**UI:N**（无需用户交互）。 🔓 **认证**：**完全不需要**登录或任何凭证即可发起攻击。

🧪 **PoC**：当前数据中 **pocs 为空**，暂无公开代码级利用脚本。 🌍 **在野**：暂无明确在野利用报告，但鉴于**CVSS 满分潜力**（9.8+），风险极高，需警惕零日利用。

🔎 **自查方法**： 1. 检查 Agentflow 管理后台或 API 接口是否**无需 Token/Session** 即可访问。 2. 尝试直接访问数据库相关端点，观察是否返回数据或报错而非 401/403。 3. 使用漏洞扫描器检测**认证缺失**类漏洞。

🛡️ **官方状态**：已发布安全公告。 📝 **参考**：Flowring 官方论坛及 TW-CERT 均有 advisories。 🔗 **缓解链接**：[Flowring Forum](https://forum.flowring.com/post/view?bid=72&id=45611&tpg=1&ppg=1&sty=1#45939) 提供缓解建议。

⏳ **临时规避**： 1. **网络隔离**：将 Agentflow 部署在**内网**，禁止公网直接访问。 2. **WAF 防护**：配置 WAF 规则，拦截对敏感 API 的**匿名请求**。 3. **访问控制**：在网关层强制实施**IP 白名单**或基础认证。

🔥 **优先级**：**紧急 (Critical)**。 📈 **CVSS 3.1**：**9.8**（极高危）。 💡 **建议**：立即应用官方缓解措施，尽快联系厂商获取**补丁**或更新版本，防止数据被恶意篡改或删除。