Platform
python
Component
astrbot
Opgelost in
3.4.5
3.5.13
CVE-2025-48957 beschrijft een Path Traversal kwetsbaarheid in AstrBot, een Python-gebaseerd applicatie. Deze kwetsbaarheid stelt aanvallers in staat om toegang te krijgen tot gevoelige bestanden en data. De kwetsbaarheid treft versies van AstrBot tot en met 3.5.9. Een patch is beschikbaar in versie 3.5.13.
De Path Traversal kwetsbaarheid in AstrBot maakt het mogelijk voor een aanvaller om bestanden buiten de toegestane directory te benaderen. Dit kan leiden tot de onthulling van zeer gevoelige informatie, waaronder API-sleutels voor LLM-providers (Large Language Model), accountwachtwoorden en andere vertrouwelijke data. Een succesvolle exploitatie vereist geen authenticatie en kan met relatief eenvoudige technieken worden uitgevoerd, wat de potentiële impact aanzienlijk vergroot. De blootgestelde data kan gebruikt worden voor verdere aanvallen, zoals accountovername of misbruik van de LLM-services.
De kwetsbaarheid is openbaar bekend gemaakt op 2025-06-04. Er zijn publieke Proof-of-Concept (POC) exploits beschikbaar, wat de kans op actieve uitbuiting verhoogt. De CVSS score van 7.5 (HIGH) duidt op een aanzienlijke dreiging. Er is geen informatie beschikbaar over actieve campagnes of toevoeging aan de CISA KEV catalogus op het moment van schrijven.
Organizations deploying AstrBot, particularly those using it to interact with LLM providers or storing sensitive credentials within the application's configuration files, are at significant risk. Shared hosting environments where AstrBot is installed alongside other applications are also vulnerable, as a compromised AstrBot instance could potentially be used to access files belonging to other tenants.
• python / server:
# Check for AstrBot version
python -c "import astrbot; print(astrbot.__version__)"
# Monitor file access attempts in logs (if logging is enabled)
grep -i "path traversal" /var/log/syslog• generic web:
# Attempt to access sensitive files via path traversal
curl 'http://your-astrbot-server/../../../../etc/passwd'disclosure
Exploit Status
EPSS
0.38% (59% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-48957 is het upgraden van AstrBot naar versie 3.5.13 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren. Controleer de configuratie van AstrBot om te verzekeren dat de toegangsrechten tot gevoelige bestanden beperkt zijn. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te benaderen via een HTTP-request; de toegang moet geweigerd worden.
Actualice AstrBot a la versión 3.5.13 o posterior. Como alternativa temporal, edite el archivo `cmd_config.json` para deshabilitar la función del panel de control. Sin embargo, se recomienda encarecidamente actualizar a la versión v3.5.13 o posterior para resolver completamente este problema.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-48957 is a Path Traversal vulnerability in AstrBot versions up to 3.5.9, allowing attackers to access sensitive files and data.
You are affected if you are running AstrBot version 3.5.9 or earlier. Upgrade to 3.5.13 or later to mitigate the risk.
Upgrade AstrBot to version 3.5.13 or later. If immediate upgrade is not possible, restrict file access permissions for the AstrBot user.
While active exploitation is not confirmed, the vulnerability's ease of reproduction suggests a potential for exploitation.
Refer to the AstrBot GitHub repository and associated release notes for the official advisory and patch details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.