CRITICAL🇬🇧 English

CVE-2025-3709

Flowring Agentflow — pominięcie blokady konta umożliwia atak brute force

CVSS 9.8v3.1pub. 2025-05-02upd. 2025-05-07

Aplikacja Agentflow firmy Flowring Technology zawiera podatność typu Account Lockout Bypass (CWE-307), która pozwala nieuwierzytelnionemu atakującemu zdalnie przeprowadzić atak brute force na hasła użytkowników. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co czyni ją poważnym zagrożeniem dla bezpieczeństwa kont w systemie.

Pokaż oryginał (EN)

Agentflow from Flowring Technology has an Account Lockout Bypass vulnerability, allowing unauthenticated remote attackers to exploit this vulnerability to perform password brute force attack.

🤖 Analiza AI
Jak działa

System nie implementuje skutecznego mechanizmu blokowania konta po określonej liczbie nieudanych prób logowania (brak lub obejście polityki Account Lockout). Nieuwierzytelniony atakujący zdalnie, bez jakichkolwiek uprawnień i bez interakcji użytkownika, może wysyłać nieograniczoną liczbę żądań logowania z różnymi kombinacjami haseł. Brak ograniczeń liczby prób pozwala na automatyczne testowanie dużych zbiorów haseł aż do odnalezienia prawidłowego.

Skutki

Atakujący może odgadnąć hasło dowolnego użytkownika systemu i przejąć kontrolę nad jego kontem, uzyskując dostęp do poufnych danych oraz funkcji systemu Agentflow. W zależności od uprawnień przejętego konta możliwe jest naruszenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez TWCERT/CC pod adresami: https://www.twcert.org.tw/en/cp-139-10090-112f7-2.html oraz https://www.twcert.org.tw/tw/cp-132-10091-12462-1.html. Dodatkowo, do czasu wdrożenia poprawki, zaleca się ograniczenie dostępu do interfejsu logowania na poziomie sieci (firewall, VPN) oraz wdrożenie zewnętrznych mechanizmów ograniczania liczby prób logowania (np. WAF, reverse proxy z rate limiting).

Kogo dotyczy

Flowring Agentflow — wersje wskazane w referencjach producenta (TWCERT/CC)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Flowring Agentflow

    APP
    Flowring
    4.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-2095CRITICAL9.3PL ✓ten sam produkt

Pomijanie uwierzytelnienia w Flowring Agentflow — przejęcie tokenu dowolnego użytkownika

CVE-2026-2096CRITICAL9.3PL ✓ten sam produkt

Flowring Agentflow — brak uwierzytelnienia umożliwia manipulację bazą danych

CVE-2022-39036CRITICAL9.8ten sam produkt

The file upload function of Agentflow BPM has insufficient filtering for special characters in URLs. An unauth...

CVE-2026-2097HIGH8.7ten sam produkt

Agentflow developed by Flowring has an Arbitrary File Upload vulnerability, allowing authenticated remote atta...

CVE-2022-39038HIGH8.8ten sam produkt

Agentflow BPM enterprise management system has improper authentication. A remote attacker with general user pr...