CVE-2025-49619 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Jinja 运行时泄漏（Jinja Runtime Leak）。 💥 **后果**：攻击者可利用此漏洞执行任意代码，导致服务器被完全控制。

🔍 **CWE**：CWE-1336（不正确的序列化）。 📍 **缺陷点**：`sdk/workflow/models/block.py` 文件中的 Jinja 模板处理逻辑存在安全缺陷。

📦 **厂商**：Ikonomos (Skyvern)。 📉 **版本**：**0.1.85 及之前版本**均受影响。

🔓 **权限**：需要低权限（PR:L）即可触发。 📊 **数据**：可获取高机密性（C:H）数据，且能执行任意命令（如反向 Shell），完全接管系统。

⚠️ **门槛**：中等。 🔑 **条件**：需要有效的 **X-API-KEY** 认证，但无需用户交互（UI:N），网络可达即可利用。

💣 **有 Exp**：是的。 🔗 **来源**：GitHub 上已有 Cristian Branet 发布的 PoC，可直接用于反弹 Shell。

🔎 **自查**：检查 Skyvern 版本是否 ≤ 0.1.85。 📝 **特征**：关注 `block.py` 中的 Jinja 模板渲染逻辑，或扫描是否存在未修复的 API 接口。

🛡️ **官方修复**：已发布补丁。 🔗 **链接**：参考 GitHub Commit `db856cd8433a204c8b45979c70a4da1e119d949d` 进行升级。

🚧 **临时规避**： 1. 立即升级至最新版本。 2. 若无法升级，严格限制 API 密钥权限，并在防火墙层面隔离 Skyvern 服务。

🔥 **优先级**：**极高 (Critical)**。 💡 **建议**：CVSS 评分高，且有现成 Exp，建议 **立即** 升级或采取缓解措施。