一、漏洞簡述

以下是 Agentflow 4.0 被發現的安全漏洞，請所有使用相關產品或負責維運的同仁務必注意：

CVE-2025-11898｜CVSS：7.5 (High)
Arbitrary File Reading：未經身分鑑別之遠端攻擊者可利用 Relative Path Traversal 下載任意系統檔案，造成敏感資訊外洩風險。

CVE-2025-11899｜CVSS：8.1 (High)
Use of Hard-coded Cryptographic Key：未經身分鑑別之遠端攻擊者可利用固定 key 產生驗證資訊，進而以任意使用者身分登入系統。攻擊者需先取得 User ID 才能利用此漏洞。

二、設備／版本影響

Agentflow 4.0

三、建議處置

廠商已完成修補，可利用客服系統(CRM)取得修補程式

四、相關連結