漏洞发现时间：

2022-11-10

漏洞编号：

CVE-2022-39037

危险等级：

高危

受影响软件：

Agentflow BPM V.4.0.0.1183.552

漏洞描述：

Agentflow BPM是一款企业流程管理系统。Agentflow让各项BPM企业流程管理措施都能在线完成。透过自动化与系统监管，避免人工疏忽与进度拖延。不论公司规模大小，都能因采用Agentflow而建立良好的BPM机制，为数字转型扎下基础。

Agentflow BPM V.4.0.0.1183.552版本中存在路径遍历漏洞。该漏洞是由于程序未对用户的输入进行严格的过滤验证。未经身份验证的远程攻击者可以利用此漏洞绕过身份验证并下载任意系统文件，危害站点系统安全。

来源参考：

https://nvd.nist.gov/vuln/detail/CVE-2022-39037

专家建议：

厂商已发布了漏洞修复程序，请及时关注更新。

补丁链接：

https://www.flowring.com/2022/09/19/%e7%94%a2%e5%93%81%e6%9b%b4%e6%96%b0agentflow-v4-0%e3%80%81v3-7%e5%a4%be%e6%aa%94%e5%8a%9f%e8%83%bd%e8%b3%87%e5%ae%89%e4%bf%ae%e6%ad%a3/