CVE-2024-31621 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Flowise 存在**身份认证绕过**漏洞。 💥 **后果**：攻击者可**未授权访问**系统，破坏应用完整性与机密性。

🛡️ **CWE**：数据未提供具体 CWE ID。 🔍 **缺陷点**：**身份认证机制**失效，导致权限校验被绕过。

📦 **组件**：**Flowise** (LLM 应用构建工具)。 📅 **版本**：**1.6.5 及以下**版本受影响。

👮 **权限**：获得**未授权访问**权限，绕过正常登录流程。 📂 **数据**：可能访问受保护的 LLM 应用配置及数据。

🚪 **门槛**：**低**。 🔑 **认证**：直接**绕过身份认证**，无需合法凭证即可进入。

💣 **Exp**：有现成 PoC。 🔗 **来源**：ProjectDiscovery Nuclei 模板 & Exploit-DB (ID: 52001)。

🔎 **自查**：使用 Nuclei 扫描 CVE-2024-31621 模板。 📊 **特征**：检测 Flowise 版本是否 **≤ 1.6.5** 且存在认证绕过路径。

🩹 **补丁**：数据未提供官方补丁链接。 ⚠️ **建议**：参考官方文档 flowiseai.com 获取最新修复版本。

🛡️ **规避**：升级至**安全版本**。 🚫 **临时**：若无补丁，限制网络访问，**禁用**外部对 API 的未授权访问。

🔥 **优先级**：**高**。 ⚡ **理由**：认证绕过属**高危**漏洞，利用简单，需立即关注版本升级。