FlowiseAI密码重置令牌漏洞可导致账户接管

已披露一个影响FlowiseAI的Flowise平台的严重漏洞，该漏洞暴露出一个严重的身份验证绕过缺陷，使攻击者能够以最小的 effort 实施完全的账户接管。

编号为CVE-2025-58434的漏洞会影响cloud.flowiseai.com上的云部署以及自托管安装，这使其成为使用该AI智能体构建平台的组织所面临的一个广泛存在的安全问题。

密码重置令牌漏洞

该漏洞源于/api/v1/account/forgot-password端点存在一个根本性的设计缺陷，该端点在未进行适当验证的情况下，会在API响应中不当返回敏感的认证令牌。

当攻击者提交密码重置请求时，该端点会返回完整的用户详情，包括受害者的临时令牌（tempToken）和令牌过期时间戳（tokenExpiry），这实际上绕过了原本基于电子邮件的验证流程。

这种利用过程只需要知道目标的电子邮件地址。攻击者可以使用curl命令向易受攻击的端点执行一个简单的POST请求：curl -i -X POST https://<target>/api/v1/account/forgot-password -H “Content-Type: application/json” -d ‘{“user”:{“email”:”victim@example.com”}}’。

服务器返回201 Created状态，并提供包含密码重置操作所需tempToken的完整用户对象。

一旦获取到暴露的tempToken，就可以立即在/api/v1/account/reset-password端点上重复使用，无需任何额外验证即可更改受害者的凭证。

这种第二阶段攻击利用另一个POST请求，其中包含受害者的电子邮件、截获的tempToken以及攻击者选择的密码。

服务器以200 OK响应处理此请求，完成账户接管过程。

该漏洞的CVSS 3.1基础评分为9.8（严重），向量字符串为CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H，这表明其可通过网络利用，无需身份验证，攻击复杂度低，且会对保密性、完整性和可用性造成严重影响。

这种分类反映了该漏洞在针对云部署和本地部署时被广泛自动化利用的可能性。

该漏洞由安全研究人员Zaddy6和Arthurgervais报告。

缓解措施

为了弥补这一严重缺陷，FlowiseAI和自托管管理员应立即采取以下措施：

确保/api/v1/account/forgot-password端点在其HTTP响应中绝不会泄露tempToken或任何敏感的账户详情。

相反，无论该电子邮件是否已注册，都返回一条通用的成功消息，例如{“message”:”如果该电子邮件存在，您将收到重置说明。”}。

强制仅通过用户的已验证电子邮件地址发送密码重置令牌。API 应生成一次性的 tempToken，在服务器端安全存储，并在首次使用后或短时间过期后使其失效。

为/api/v1/account/reset-password端点添加验证，检查临时令牌（tempToken）是否与给定邮箱的最后生成令牌匹配、是否未被使用，以及是否来自请求该令牌的同一客户端/IP。

记录每一次密码重置请求以及相关的IP地址和时间戳，将有助于检测异常模式。

对云部署和自托管部署分支进行彻底的代码审查，以确认没有遗留的调试端点会暴露敏感数据。

在两个密码重置端点上实施严格的速率限制，以阻止自动化枚举或暴力破解尝试。为3.0.5版本规划一个补丁发布，该补丁将自动应用上述所有修复，并提供清晰的升级说明。

在补丁发布之前，管理员应考虑将应用程序置于Web应用防火墙（WAF）之后，并仅限制已知网络或经过身份验证的渠道访问API端点。

通过消除令牌的直接暴露，并实施严格的验证和监控措施，组织可以降低账户被盗用的风险，并维护用户凭证的完整性。