Plateforme
python
Composant
astrbot
Corrigé dans
3.4.5
3.5.13
La vulnérabilité CVE-2025-48957 représente un défaut de traversal de chemin dans AstrBot, un bot Python. Cette faille permet potentiellement à un attaquant d'accéder à des fichiers sensibles sur le système, compromettant ainsi la confidentialité des données. Elle affecte les versions d'AstrBot inférieures ou égales à 3.5.9 et une correction a été déployée dans la version 3.5.13.
L'exploitation réussie de cette vulnérabilité de traversal de chemin peut entraîner une divulgation d'informations critique. Un attaquant pourrait accéder à des fichiers contenant des clés API pour les fournisseurs de LLM (Large Language Models), des mots de passe d'utilisateurs, et d'autres données sensibles stockées sur le système. L'impact est significatif car la compromission de ces informations pourrait permettre à un attaquant de prendre le contrôle du bot, d'accéder à des ressources externes, ou de voler des données confidentielles. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la facilité de reproduction de la vulnérabilité, comme démontré dans la description, augmente le risque d'exploitation.
La vulnérabilité a été publiée le 4 juin 2025. Il n'y a pas d'indications d'exploitation active à ce jour, mais la simplicité de reproduction de la vulnérabilité suggère un risque potentiel. La vulnérabilité n'est pas répertoriée sur le KEV (Know Exploited Vulnerabilities) de CISA au moment de la rédaction, et son score EPSS (Exploit Prediction Scoring System) n'a pas été évalué.
Organizations deploying AstrBot, particularly those using it to interact with LLM providers or storing sensitive credentials within the application's configuration files, are at significant risk. Shared hosting environments where AstrBot is installed alongside other applications are also vulnerable, as a compromised AstrBot instance could potentially be used to access files belonging to other tenants.
• python / server:
# Check for AstrBot version
python -c "import astrbot; print(astrbot.__version__)"
# Monitor file access attempts in logs (if logging is enabled)
grep -i "path traversal" /var/log/syslog• generic web:
# Attempt to access sensitive files via path traversal
curl 'http://your-astrbot-server/../../../../etc/passwd'disclosure
Statut de l'Exploit
EPSS
0.38% (percentile 59%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour AstrBot vers la version 3.5.13 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès aux fichiers sensibles et de surveiller les tentatives d'accès non autorisées. En attendant la mise à jour, une solution de contournement pourrait consister à configurer un serveur web inverse (proxy) pour filtrer les requêtes et bloquer les tentatives de traversal de chemin. Il est également conseillé de renforcer les contrôles d'accès aux fichiers et de limiter les privilèges de l'utilisateur exécutant AstrBot. Après la mise à jour, vérifiez l'intégrité des fichiers et examinez les journaux d'accès pour détecter toute activité suspecte.
Actualice AstrBot a la versión 3.5.13 o posterior. Como alternativa temporal, edite el archivo `cmd_config.json` para deshabilitar la función del panel de control. Sin embargo, se recomienda encarecidamente actualizar a la versión v3.5.13 o posterior para resolver completamente este problema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-48957 is a Path Traversal vulnerability in AstrBot versions up to 3.5.9, allowing attackers to access sensitive files and data.
You are affected if you are running AstrBot version 3.5.9 or earlier. Upgrade to 3.5.13 or later to mitigate the risk.
Upgrade AstrBot to version 3.5.13 or later. If immediate upgrade is not possible, restrict file access permissions for the AstrBot user.
While active exploitation is not confirmed, the vulnerability's ease of reproduction suggests a potential for exploitation.
Refer to the AstrBot GitHub repository and associated release notes for the official advisory and patch details.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.