以下是简洁的Markdown格式返回从该网页截图中获取到的关于漏洞的关键信息: --- 华苓科技 TVN ID: - TVN-202602002 CVE ID: - CVE-2026-2095, CVE-2026-2096, CVE-2026-2097, CVE-2026-2098, CVE-2026-2099 CVSS: - CVE-2026-2095: 9.8 (Critical) - CVE-2026-2096: 9.8 (Critical) - CVE-2026-2097: 8.8 (High) - CVE-2026-2098: 5.4 (Medium) - CVE-2026-2099: 5.4 (Medium) 受影响产品: - CVE-2026-2095, CVE-2026-2096, CVE-2026-2097: AgentFlow所有版本 - CVE-2026-2098, CVE-2026-2099: AgentFlow 4.0 问题描述: - CVE-2026-2095 (Authentication Bypass): - 认为身份鉴别之远端攻击者可利用特定功能取得任意使用者验证凭证,进而以任意使用者身份登入系统。 - CVE-2026-2096 (Missing Authenticaton): - 认为身份鉴别之远端攻击者可利用特定功能读取、修改及删除资料库内容。 - CVE-2026-2097 (Arbitrary File Upload): - 已通过身份鉴别之远端攻击者可上传并执行网页后门程式,进而于伺服器端执行任意程式码。 - CVE-2026-2098 (Reflected Cross-site Scripting): - 认为身份鉴别之远端攻击者可利用钓鱼攻击于使用者端浏览器执行任意JavaScript程式码。 - CVE-2026-2099 (Stored Cross-Site Scripting): - 已通过身份鉴别之远端攻击者可于特定页面注入持久性JavaScript程式码,并在使用者浏览该页面时自动执行。 解决方法: - CVE-2026-2095, CVE-2026-2096: - 请参考以下官方说明采取缓解措施: - https://forum.flowring.com/post/view?bid=72&id=45611&tpg=1&ppg=1&sty=1#45939 - CVE-2026-2097: - 联系厂商确认应对措施 - CVE-2026-2098, CVE-2026-2099: - 更新至4.0.0.1878.877 (含) 以后版本 漏洞通报者: - CVE-2026-2095, CVE-2026-2096, CVE-2026-2097: - Sideman (DEV CORE) - CVE-2026-2098, CVE-2026-2099: - ChunHao Yang (CHT Security) 公开日期: - 2026-02-06