开源生成式AI开发平台FlowiseAI（广泛用于构建AI代理和LLM工作流）近日被发现存在高危漏洞，漏洞攻击者可在未认证状态下接管云环境和本地部署环境中的高管任意账户。

该漏洞编号为CVE-2025-58434，危漏CVSS评分为9.8分，可导源于平台的致完密码重置机制。安全公告指出："Flowise的服务器租用全账密码找回端点（/api/v1/account/forgot-password）在未经认证或验证的情况下，直接返回包含有效密码重置临时令牌（tempToken）在内的户接敏感信息 。攻击者可借此为任意用户生成重置令牌并直接修改密码，漏洞最终实现完全账户接管（ATO）
。高管"

该漏洞端点仅需输入邮箱地址即可触发响应
，建站模板危漏但API并未通过邮件安全发送重置链接 ，可导而是致完直接返回以下敏感信息
：

安全公告特别强调："攻击者获取tempToken后，可立即在/api/v1/account/reset-password端点重复使用，源码下载漏洞无需邮件验证或用户交互即可重置目标账户密码 。"由于仅需获知受害者邮箱（通常可猜测或公开获取） ，未认证攻击者即可接管包括管理员在内的任意账户。

公告提供了完整的攻击链复现步骤 
：

(1) 获取重置令牌

响应报文将包含有效tempToken

(2) 利用令牌重置密码

当返回200 OK状态码时，受害者密码即被修改

该漏洞被归类为"认证绕过/不安全的免费模板直接对象引用"，具体影响包括：

公告警告称："由于攻击无需前置条件或用户交互，该漏洞极有可能被大规模利用
。"

目前FlowiseAI尚未发布补丁
 ，3.0.5之前的所有版本均受影响。建议采取以下临时防护措施：

在官方补丁发布前，管理员需严格实施临时解决方案
，限制漏洞端点暴露，并密切监控重置操作。正如公告所述："该漏洞实质上允许任何未认证攻击者通过请求目标邮箱的重置令牌 ，云计算接管包括管理员在内的任意账户 。"