CVE-2025-48957 是 AstrBot 中的路径遍历漏洞。该漏洞可能导致敏感信息泄露,包括 LLM 提供商的 API 密钥、账户密码等。该漏洞影响 AstrBot 版本小于或等于 3.5.9 的用户。建议升级至 3.5.13 版本以修复此漏洞。
该路径遍历漏洞允许攻击者访问 AstrBot 应用程序的敏感文件和目录,从而泄露关键信息。攻击者可以通过构造恶意的 URL 请求,访问未经授权的资源。泄露的信息可能包括 LLM 提供商的 API 密钥,这些密钥可用于未经授权地访问 LLM 服务,并可能导致进一步的攻击。此外,账户密码的泄露可能导致账户被盗用和滥用。攻击者还可以利用该漏洞获取其他配置信息,从而了解 AstrBot 的内部结构和工作原理,为后续攻击做准备。
目前没有公开的利用代码,但该漏洞的严重性较高,存在被利用的风险。该漏洞已于 2025 年 6 月 4 日公开。由于该漏洞允许访问敏感信息,因此可能成为攻击者的目标。建议密切关注安全社区的动态,及时了解最新的漏洞信息和利用方法。
Organizations deploying AstrBot, particularly those using it to interact with LLM providers or storing sensitive credentials within the application's configuration files, are at significant risk. Shared hosting environments where AstrBot is installed alongside other applications are also vulnerable, as a compromised AstrBot instance could potentially be used to access files belonging to other tenants.
• python / server:
# Check for AstrBot version
python -c "import astrbot; print(astrbot.__version__)"
# Monitor file access attempts in logs (if logging is enabled)
grep -i "path traversal" /var/log/syslog• generic web:
# Attempt to access sensitive files via path traversal
curl 'http://your-astrbot-server/../../../../etc/passwd'disclosure
漏洞利用状态
EPSS
0.38% (59% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级 AstrBot 至 3.5.13 或更高版本。如果无法立即升级,可以尝试限制对 AstrBot 应用程序的访问权限,只允许授权用户访问。此外,可以考虑使用 Web 应用程序防火墙 (WAF) 来检测和阻止恶意的 URL 请求。监控 AstrBot 的日志文件,查找可疑的活动,例如对敏感文件的访问尝试。在升级后,验证漏洞是否已成功修复,例如通过尝试利用该漏洞的攻击向量,确认无法再访问敏感信息。
Actualice AstrBot a la versión 3.5.13 o posterior. Como alternativa temporal, edite el archivo `cmd_config.json` para deshabilitar la función del panel de control. Sin embargo, se recomienda encarecidamente actualizar a la versión v3.5.13 o posterior para resolver completamente este problema.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-48957 是 AstrBot 中的一个路径遍历漏洞,允许攻击者访问未经授权的文件和目录,从而泄露敏感信息。
如果您正在使用 AstrBot 版本小于或等于 3.5.9,则可能受到此漏洞的影响。
升级至 AstrBot 3.5.13 或更高版本以修复此漏洞。
目前没有公开的利用代码,但由于漏洞的严重性,存在被利用的风险。
请访问 AstrBot 的官方网站或 GitHub 仓库,查找有关此漏洞的公告。
上传你的 requirements.txt 文件,立即知道是否受影响。