प्लेटफ़ॉर्म
python
घटक
astrbot
में ठीक किया गया
4.22.1
4.22.2
AstrBot सॉफ्टवेयर में एक कमांड इंजेक्शन भेद्यता की पहचान की गई है, जिससे हमलावरों को सिस्टम पर मनमाना कमांड निष्पादित करने की अनुमति मिल सकती है। यह भेद्यता AstrBot के संस्करण 4.22.0 से 4.22.1 तक के उपयोगकर्ताओं को प्रभावित करती है। परियोजना को समस्या के बारे में सूचित किया गया है, लेकिन अभी तक कोई प्रतिक्रिया नहीं मिली है।
AstrBot में एक कमांड इंजेक्शन भेद्यता की पहचान की गई है, विशेष रूप से astrbot/dashboard/routes/tools.py फ़ाइल के addmcpserver फ़ंक्शन में। यह दोष, 4.22.1 से पहले के संस्करणों में मौजूद है, जो एक दूरस्थ हमलावर को कमांड तर्क को हेरफेर करके अंतर्निहित सिस्टम पर मनमाना कमांड निष्पादित करने की अनुमति देता है। इस भेद्यता को CVSS पैमाने पर 6.3 के रूप में रेट किया गया है, जो मध्यम से उच्च जोखिम दर्शाता है। यह तथ्य कि शोषण दूरस्थ रूप से संभव है और जानकारी सार्वजनिक रूप से प्रकटीकरण की गई है, AstrBot उपयोगकर्ताओं के लिए जोखिम को काफी बढ़ाता है। समस्या की सूचना दिए जाने के बावजूद डेवलपर की प्रतिक्रिया की कमी एक चिंताजनक कारक है।
यह भेद्यता AstrBot के MCP Endpoint घटक के भीतर addmcpserver फ़ंक्शन में मौजूद है। एक हमलावर कमांड तर्क को हेरफेर करने वाले दुर्भावनापूर्ण अनुरोध को भेजकर इस दोष का फायदा उठा सकता है। यह हेरफेर ऑपरेटिंग सिस्टम कमांड निष्पादित करने की अनुमति देता है, जिससे हमलावर को सर्वर पर नियंत्रण प्राप्त करने की संभावना हो सकती है। भेद्यता का सार्वजनिक प्रकटीकरण इंगित करता है कि शोषण के लिए उपकरण और तकनीकें उपलब्ध हैं, जिससे हमलों की संभावना बढ़ जाती है। डेवलपर की प्रतिक्रिया की कमी का मतलब है कि यह भेद्यता विस्तारित अवधि के लिए अनपैच्ड रह सकती है।
Organizations deploying AstrBot versions 4.22.0 through 4.22.1, particularly those with limited network segmentation or inadequate input validation practices, are at significant risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one user's account could lead to a broader system compromise.
• python / server:
journalctl -u astrbot -g 'command injection'• python / server:
ps aux | grep -i 'add_mcp_server' | grep -v grep• generic web:
curl -I http://your-astrbot-server/dashboard/tools/add_mcp_server | grep -i 'command injection'disclosure
एक्सप्लॉइट स्थिति
EPSS
4.42% (89% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि डेवलपर ने CVE-2026-6118 के लिए कोई फिक्स (पैच) प्रदान नहीं किया है, इसलिए 4.22.1 से पहले के संस्करणों में AstrBot उपयोगकर्ताओं को तत्काल कार्रवाई करने की दृढ़ता से सलाह दी जाती है। हालांकि कोई सीधा समाधान नहीं है, AstrBot डैशबोर्ड तक दूरस्थ पहुंच को अक्षम या प्रतिबंधित करने की सिफारिश की जाती है जब तक कि कोई अपडेट जारी न हो जाए। फ़ायरवॉल और घुसपैठ का पता लगाने वाले सिस्टम को लागू करने से जोखिम को कम करने में मदद मिल सकती है। संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी करना महत्वपूर्ण है। यदि भेद्यता आपके पर्यावरण के लिए अस्वीकार्य जोखिम पैदा करती है, तो वैकल्पिक समाधान पर विचार करें।
Actualice AstrBot a una versión corregida. El proveedor no ha respondido, por lo que se recomienda monitorear la situación y aplicar la actualización tan pronto como esté disponible. Consulte la documentación oficial de AstrBot para obtener instrucciones de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
कमांड इंजेक्शन एक प्रकार की सुरक्षा भेद्यता है जो एक हमलावर को अंतर्निहित ऑपरेटिंग सिस्टम पर मनमाना कमांड निष्पादित करने की अनुमति देती है।
एक हमलावर आपके सिस्टम तक अनधिकृत पहुंच प्राप्त कर सकता है, गोपनीय डेटा चुरा सकता है या सर्वर पर पूर्ण नियंत्रण ले सकता है।
डैशबोर्ड तक दूरस्थ पहुंच को अक्षम करने और संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी करने की सिफारिश की जाती है।
वर्तमान में, डेवलपर द्वारा कोई फिक्स प्रदान नहीं किया गया है। शमन उपायों में दूरस्थ पहुंच को प्रतिबंधित करना और सिस्टम सुरक्षा को मजबूत करना शामिल है।
प्रभावित सिस्टम को नेटवर्क से अलग करें, पासवर्ड बदलें और एक पूर्ण सुरक्षा ऑडिट करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।