一、 漏洞 CVE-2025-11899 基础信息
漏洞信息
                                        # Flowring Technology Agentflow 硬编码密钥漏洞

## 概述

Agentflow 是由 Flowring 开发的一款软件产品,其中存在硬编码的加密密钥。

## 影响版本

尚无具体明确受影响版本,建议检查官方安全通告或联系厂商确认。

## 细节

系统在验证过程中使用了一个固定、硬编码的加密密钥,攻击者可以通过分析源码或逆向工程获取该密钥,并由此生成有效的验证信息。

## 影响

攻击者在无需用户身份验证的情况下,结合已获取的用户ID,利用该硬编码密钥直接登录系统,伪装成任意用户进行操作。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Flowring Technology|Agentflow - Use of Hard-coded Cryptographic Key
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Agentflow developed by Flowring has an Use of Hard-coded Cryptographic Key vulnerability, allowing unauthenticated remote attackers to exploit the fixed key to generate verification information, thereby logging into the system as any user. Attacker must first obtain an user ID in order to exploit this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
使用硬编码的密码学密钥
来源:美国国家漏洞数据库 NVD
漏洞标题
Flowring Agentflow 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Flowring Agentflow是中国华苓(Flowring)公司的一个智能流程自动化(RPA)平台。 Flowring Agentflow存在安全漏洞,该漏洞源于使用硬编码加密密钥,可能导致未经验证的远程攻击者利用固定密钥生成验证信息,从而以任意用户身份登录系统。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11899 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-11899 的情报信息

  • 标题: TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-華苓科技|Agentflow - 存在2個漏洞 -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-華苓科技|Agentflow - 存在2個漏洞

  • 标题: TWCERT/CC Taiwan Computer Emergency Response Team/Coordination Center-Flowring|Agentflow - 2 Vulnerabilities -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    TWCERT/CC Taiwan Computer Emergency Response Team/Coordination Center-Flowring|Agentflow - 2 Vulnerabilities
  • https://nvd.nist.gov/vuln/detail/CVE-2025-11899
四、漏洞 CVE-2025-11899 的评论

暂无评论

发表评论