CVE-2024-25128 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Flask-AppBuilder 在 OIDC 认证模式下存在请求伪造漏洞。 💥 **后果**：攻击者可欺骗后端 OpenID 服务，导致认证绕过或身份伪造。

🔍 **CWE**：CWE-287 (身份验证改进不当)。 📍 **缺陷点**：当 `AUTH_TYPE` 设置为 `AUTH_OID` 时，缺乏对 HTTP 请求来源的有效校验，允许伪造请求。

📦 **组件**：Flask-AppBuilder。 🏷️ **厂商**：dpgaspar。 📉 **版本**：**4.3.11 之前**的所有版本均受影响。

👮 **权限**：可获取高权限（CVSS I:H）。 📊 **数据**：可造成机密性完全泄露（CVSS C:H）。 🎯 **能力**：通过伪造请求，可能冒充合法用户或管理员，破坏系统完整性。

🚪 **利用门槛**：**低**。 🔑 **条件**：无需认证 (PR:N)，无需用户交互 (UI:N)，网络可访问 (AV:N)。 ⚙️ **配置**：仅当应用配置为使用 OIDC 认证时有效。

💣 **Exp/PoC**：当前数据中 **无** 公开 PoC 或已知在野利用报告。 📝 **状态**：漏洞已披露，但暂无自动化利用工具流传。

🔎 **自查方法**： 1. 检查 `config.py` 或相关配置，确认 `AUTH_TYPE` 是否设为 `AUTH_OID`。 2. 确认 Flask-AppBuilder 版本是否 **< 4.3.11**。 3. 扫描 HTTP 请求中是否存在异常的 OIDC 回调参数。

🛡️ **官方修复**：**已修复**。 📅 **时间**：2024-02-28 公布。 🔗 **补丁**：参考 GitHub Advisory (GHSA-j2pw-vp55-fqqj) 及 Commit `6336456`。

⚠️ **临时规避**： 1. **升级**至 4.3.11 或更高版本（首选）。 2. 若无法升级，考虑暂时禁用 OIDC 认证模式，改用其他认证方式。 3. 加强 WAF 规则，拦截异常的 OIDC 相关请求。

🔥 **优先级**：**高**。 📈 **理由**：CVSS 评分高（网络可远程利用，无需权限，影响机密性和完整性），且配置简单即可触发，建议立即排查并升级。