HIGHCVE-2025-48957CVSS 7.5

AstrBot に /api/chat/get_file においてパス・トラバーサル脆弱性が存在します

Q: CVE-2025-48957 — Path Traversal in AstrBotとは何ですか？

CVE-2025-48957は、AstrBotのPath Traversal脆弱性であり、攻撃者が機密情報にアクセスできる可能性があります。

Q: CVE-2025-48957 in AstrBotの影響はありますか？

はい、バージョン3.5.9以前を使用している場合、影響を受ける可能性があります。

Q: CVE-2025-48957 in AstrBotを修正するにはどうすればよいですか？

AstrBotをバージョン3.5.13にアップデートしてください。

Q: CVE-2025-48957は積極的に悪用されていますか？

現時点ではPoCは確認されていませんが、悪用される可能性はあります。

Q: CVE-2025-48957に関するAstrBotの公式アドバイザリはどこで入手できますか？

AstrBotの公式ウェブサイトまたはGitHubリポジトリで確認してください。

プラットフォーム

python

コンポーネント

astrbot

修正版

3.4.5

3.5.13

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-48957は、Python製のAstrBotにおいてPath Traversalの脆弱性が存在します。この脆弱性を悪用されると、攻撃者は機密情報にアクセスできる可能性があります。影響を受けるバージョンは3.5.9以前であり、3.5.13へのアップデートで修正されています。

影響と攻撃シナリオ

このPath Traversal脆弱性は、攻撃者がAstrBotの設定ファイルやログファイルなどの機密情報に不正にアクセスすることを可能にします。具体的には、LLMプロバイダーのAPIキー、アカウントパスワード、その他の機密データが漏洩するリスクがあります。攻撃者は、これらの情報を利用して、AstrBotの機能を悪用したり、他のシステムへの攻撃の足がかりにしたりする可能性があります。類似の脆弱性は、ファイルシステムへのアクセス制御の不備から発生することが多く、適切なパス検証の欠如が原因となります。

悪用の状況

この脆弱性は2025年6月4日に公開されました。現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性は悪用が容易なため、今後悪用される可能性はあります。CISA KEVへの登録状況は不明です。攻撃者は、AstrBotを導入しているシステムをスキャンし、脆弱性を悪用する可能性があります。

リスク対象者翻訳中…

Organizations deploying AstrBot, particularly those using it to interact with LLM providers or storing sensitive credentials within the application's configuration files, are at significant risk. Shared hosting environments where AstrBot is installed alongside other applications are also vulnerable, as a compromised AstrBot instance could potentially be used to access files belonging to other tenants.

検出手順翻訳中…

• python / server:

  # Check for AstrBot version
  python -c "import astrbot; print(astrbot.__version__)"

  # Monitor file access attempts in logs (if logging is enabled)
  grep -i "path traversal" /var/log/syslog

• generic web:

  # Attempt to access sensitive files via path traversal
  curl 'http://your-astrbot-server/../../../../etc/passwd'

攻撃タイムライン

2025-06-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.38% (59% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントastrbot

ベンダーosv

影響範囲修正版

>= 3.4.4, < 3.5.13 – >= 3.4.4, < 3.5.133.4.5

3.4.43.5.13

弱点分類 (CWE)

CWE-23

タイムライン

予約済み2025-05-28
公開日2025-06-04
更新日2025-06-27
EPSS 更新日2026-03-23

公開後-4日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まず、AstrBotをバージョン3.5.13にアップデートすることを推奨します。アップデートが困難な場合は、ファイルシステムへのアクセス権限を制限し、機密情報が保存されているディレクトリへのアクセスを厳格に制御してください。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、不正なパスリクエストを検知・遮断することも有効です。AstrBotのログを監視し、異常なファイルアクセスパターンを検出するためのルールを実装することも重要です。アップデート後、AstrBotの動作を検証し、機密情報が漏洩していないことを確認してください。

修正方法翻訳中…

Actualice AstrBot a la versión 3.5.13 o posterior. Como alternativa temporal, edite el archivo `cmd_config.json` para deshabilitar la función del panel de control. Sin embargo, se recomienda encarecidamente actualizar a la versión v3.5.13 o posterior para resolver completamente este problema.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-48957 — Path Traversal in AstrBotとは何ですか？