CVE-2026-25632 — 神龙十问 AI 深度分析摘要

🚨 **本质**：EPyT-Flow 的 REST API 存在代码缺陷。 🔥 **后果**：攻击者通过构造恶意 JSON，可导致 **OS 命令执行**。 💥 **严重性**：CVSS 满分 9.8，高危！

🔍 **CWE**：CWE-502（反序列化不可信数据）。 🐛 **缺陷点**：REST API 使用了**自定义反序列化器**。 ⚠️ **问题**：该反序列化器支持类型字段，且未严格校验，被攻击者利用。

📦 **产品**：EPyT-Flow（Water Futures 开源项目）。 📉 **版本**：**0.16.1 之前**的所有版本。 🏢 **厂商**：WaterFutures。

💀 **权限**：直接获取 **OS 命令执行权限**。 📂 **数据**：可读取/修改服务器任意文件。 🌐 **网络**：完全控制受影响的主机，横向移动风险极大。

🔓 **认证**：PR:N（无需认证）。 🌐 **网络**：AV:N（网络可攻击）。 🚀 **门槛**：**极低**！只要 API 暴露且未修复，任何人皆可利用。

📜 **PoC**：数据中 `pocs` 字段为空，暂无公开代码。 🌍 **在野**：暂无在野利用报告。 ⚠️ **风险**：虽无现成 Exp，但原理简单，极易编写。

🔎 **自查**：检查是否运行 EPyT-Flow < 0.16.1。 📡 **扫描**：检测 REST API 是否暴露。 📝 **日志**：监控异常的系统命令调用或反序列化错误日志。

✅ **已修复**：官方已发布补丁。 📦 **版本**：升级至 **v0.16.1** 或更高版本。 🔗 **参考**：GitHub Security Advisory GHSA-74vm-8frp-7w68。

🛡️ **缓解**：若无法升级，**禁用**受影响的 REST API 端点。 🚫 **隔离**：将服务置于内网，限制公网访问。 🔒 **WAF**：配置 WAF 拦截包含恶意类型字段的 JSON 请求。

🔥 **优先级**：**P0 - 紧急**。 📢 **建议**：立即升级！CVSS 9.8 分，无认证即可 RCE，切勿拖延。