CRITICAL🇬🇧 English

CVE-2026-2095

Pomijanie uwierzytelnienia w Flowring Agentflow — przejęcie tokenu dowolnego użytkownika

CVSS 9.3v4.0pub. 2026-02-10upd. 2026-02-13

Flowring Agentflow zawiera podatność typu Authentication Bypass (CWE-288), która umożliwia nieuwierzytelnionemu atakującemu zdalne uzyskanie tokenu uwierzytelniającego dowolnego użytkownika i zalogowanie się do systemu jako ten użytkownik. Podatność jest krytyczna ze względu na brak wymagań co do uprawnień czy interakcji ze strony ofiary.

Pokaż oryginał (EN)

Agentflow developed by Flowring has an Authentication Bypass vulnerability, allowing unauthenticated remote attackers to exploit a specific functionality to obtain arbitrary user authentication token and log into the system as any user.

🤖 Analiza AI
Jak działa

Atakujący bez żadnego wcześniejszego uwierzytelnienia może skorzystać z określonej funkcjonalności systemu Agentflow, która nieprawidłowo weryfikuje tożsamość żądającego. Wykorzystanie tej funkcjonalności pozwala na pobranie tokenu uwierzytelniającego przypisanego do wybranego konta użytkownika. Posiadając taki token, atakujący może zalogować się do systemu z pełnymi uprawnieniami danego użytkownika, w tym potencjalnie konta administracyjnego.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do systemu Agentflow jako dowolny użytkownik, w tym administrator, co może prowadzić do pełnego przejęcia kontroli nad systemem, ujawnienia poufnych danych oraz naruszenia integralności przetwarzanych informacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (forum.flowring.com oraz TWCERT/CC)

Kogo dotyczy

Flowring Agentflow — wersje wskazane w referencjach producenta

Uwagi

Podatność została opublikowana przez TWCERT/CC (Taiwan Computer Emergency Response Team / Coordination Center). Identyfikator TWCERT dostępny pod adresami referencyjnymi.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Flowring Agentflow

    APP
    Flowring
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-2096CRITICAL9.3PL ✓ten sam produkt

Flowring Agentflow — brak uwierzytelnienia umożliwia manipulację bazą danych

CVE-2025-3709CRITICAL9.8PL ✓ten sam produkt

Flowring Agentflow — pominięcie blokady konta umożliwia atak brute force

CVE-2022-39036CRITICAL9.8ten sam produkt

The file upload function of Agentflow BPM has insufficient filtering for special characters in URLs. An unauth...

CVE-2026-2097HIGH8.7ten sam produkt

Agentflow developed by Flowring has an Arbitrary File Upload vulnerability, allowing authenticated remote atta...

CVE-2022-39038HIGH8.8ten sam produkt

Agentflow BPM enterprise management system has improper authentication. A remote attacker with general user pr...