प्लेटफ़ॉर्म
python
घटक
astrbot
में ठीक किया गया
3.4.5
3.5.13
CVE-2025-48957 AstrBot में एक पथ पारगमन भेद्यता है। यह भेद्यता हमलावरों को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है, जैसे कि LLM प्रदाताओं के लिए API कुंजियाँ और खाता पासवर्ड। यह भेद्यता AstrBot के संस्करणों ≤3.5.9 को प्रभावित करती है। संस्करण 3.5.13 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को संवेदनशील डेटा तक पहुंचने की अनुमति देती है, जो उनके लिए सिस्टम को नियंत्रित करना या डेटा चोरी करना संभव बना सकती है। हमलावर API कुंजियों का उपयोग LLM प्रदाताओं की सेवाओं का दुरुपयोग करने के लिए कर सकते हैं, या खाता पासवर्ड का उपयोग अन्य प्रणालियों तक पहुंचने के लिए कर सकते हैं। इस भेद्यता का उपयोग डेटा उल्लंघनों, सेवा से इनकार और अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। पथ पारगमन भेद्यता के कारण, हमलावर फ़ाइल सिस्टम में मनमाना स्थानों तक पहुंच प्राप्त कर सकते हैं, जिससे संवेदनशील जानकारी उजागर हो सकती है।
यह CVE सार्वजनिक रूप से 2025-06-04 को प्रकाशित हुआ था। सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) उपलब्ध हैं, जो इस भेद्यता के शोषण को आसान बनाते हैं। इस भेद्यता की संभावना को मध्यम माना जाता है, क्योंकि यह सार्वजनिक रूप से ज्ञात है और इसका शोषण करना अपेक्षाकृत आसान है। CISA KEV सूची में शामिल होने की स्थिति अभी तक ज्ञात नहीं है।
Organizations deploying AstrBot, particularly those using it to interact with LLM providers or storing sensitive credentials within the application's configuration files, are at significant risk. Shared hosting environments where AstrBot is installed alongside other applications are also vulnerable, as a compromised AstrBot instance could potentially be used to access files belonging to other tenants.
• python / server:
# Check for AstrBot version
python -c "import astrbot; print(astrbot.__version__)"
# Monitor file access attempts in logs (if logging is enabled)
grep -i "path traversal" /var/log/syslog• generic web:
# Attempt to access sensitive files via path traversal
curl 'http://your-astrbot-server/../../../../etc/passwd'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.38% (59% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, AstrBot को संस्करण 3.5.13 में अपग्रेड करने की सिफारिश की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करना और अनावश्यक फ़ाइलों और निर्देशिकाओं तक पहुंच को सीमित करना शामिल हो सकता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। फ़ाइल सिस्टम एक्सेस पैटर्न की निगरानी करके और असामान्य गतिविधि का पता लगाकर, इस भेद्यता के शोषण का पता लगाया जा सकता है।
Actualice AstrBot a la versión 3.5.13 o posterior. Como alternativa temporal, edite el archivo `cmd_config.json` para deshabilitar la función del panel de control. Sin embargo, se recomienda encarecidamente actualizar a la versión v3.5.13 o posterior para resolver completamente este problema.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-48957 AstrBot में एक पथ पारगमन भेद्यता है जो हमलावरों को संवेदनशील डेटा तक पहुंचने की अनुमति देती है।
यदि आप AstrBot के संस्करण ≤3.5.9 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, AstrBot को संस्करण 3.5.13 में अपग्रेड करें।
सार्वजनिक PoC उपलब्ध होने के कारण, CVE-2025-48957 सक्रिय रूप से शोषण किए जाने की संभावना है।
आधिकारिक AstrBot सलाहकार के लिए, कृपया AstrBotDevs GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।