Plataforma
python
Componente
astrbot
Corregido en
3.4.5
3.5.13
Se ha identificado una vulnerabilidad de Path Traversal en AstrBot, una aplicación Python. Esta falla permite a un atacante acceder a archivos y directorios sensibles, potencialmente exponiendo información confidencial. La vulnerabilidad afecta a versiones de AstrBot anteriores o iguales a 3.5.9. Se recomienda actualizar a la versión 3.5.13 para solucionar el problema.
La vulnerabilidad de Path Traversal en AstrBot permite a un atacante eludir los controles de acceso y acceder a archivos fuera del directorio previsto. Esto puede resultar en la divulgación de información sensible, incluyendo claves de API para proveedores de LLM, contraseñas de cuentas y otros datos confidenciales almacenados en el sistema. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a la configuración de la aplicación y a los datos que procesa, comprometiendo la seguridad y la privacidad de los usuarios. La exposición de claves de API podría permitir a un atacante el uso no autorizado de los servicios de LLM asociados.
La vulnerabilidad CVE-2025-48957 fue publicada el 4 de junio de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la redacción. La disponibilidad de un repositorio público en GitHub facilita la reproducción y el análisis de la vulnerabilidad, lo que podría aumentar el riesgo de explotación.
Organizations deploying AstrBot, particularly those using it to interact with LLM providers or storing sensitive credentials within the application's configuration files, are at significant risk. Shared hosting environments where AstrBot is installed alongside other applications are also vulnerable, as a compromised AstrBot instance could potentially be used to access files belonging to other tenants.
• python / server:
# Check for AstrBot version
python -c "import astrbot; print(astrbot.__version__)"
# Monitor file access attempts in logs (if logging is enabled)
grep -i "path traversal" /var/log/syslog• generic web:
# Attempt to access sensitive files via path traversal
curl 'http://your-astrbot-server/../../../../etc/passwd'disclosure
Estado del Exploit
EPSS
0.38% (59% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar AstrBot a la versión 3.5.13 o superior, que incluye la corrección de seguridad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales como restringir el acceso al directorio de la aplicación y monitorear los registros en busca de intentos de acceso no autorizados. Revise la configuración de la aplicación para asegurar que no se estén almacenando credenciales sensibles en texto plano. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los intentos de acceso a archivos fuera del directorio previsto sean bloqueados.
Actualice AstrBot a la versión 3.5.13 o posterior. Como alternativa temporal, edite el archivo `cmd_config.json` para deshabilitar la función del panel de control. Sin embargo, se recomienda encarecidamente actualizar a la versión v3.5.13 o posterior para resolver completamente este problema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48957 is a Path Traversal vulnerability in AstrBot versions up to 3.5.9, allowing attackers to access sensitive files and data.
You are affected if you are running AstrBot version 3.5.9 or earlier. Upgrade to 3.5.13 or later to mitigate the risk.
Upgrade AstrBot to version 3.5.13 or later. If immediate upgrade is not possible, restrict file access permissions for the AstrBot user.
While active exploitation is not confirmed, the vulnerability's ease of reproduction suggests a potential for exploitation.
Refer to the AstrBot GitHub repository and associated release notes for the official advisory and patch details.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.