【AI高危漏洞预警】AstrBot路径遍历漏洞CVE-2025-48957

cexlife 飓风网络安全 2025-06-03 09:00

漏洞描述:

AѕtrBоt是一个大型语言模型聊天机器人和开发框架,3.4.4到3.5.12版本中存在路径遍历漏洞,可能导致信息泄露,如LLM提供商的API密钥、账户密码和其他敏感数据,该漏洞已在Pull Rеԛuеѕt #1676中修复
,并包含在版本3.5.13中作为临时解决方案,用户可以编辑сmd_соnfiɡ.јѕоn文件以禁用仪表板功能。然而,强烈建议升级到版本v3.5.13或更高版本以完全解决此问题。

攻击场景:

攻击者可能通过上传恶意文件来对系统进行攻击

影响产品及版本:

AstrBot,受影响的版本为3.4.4到3.5.12

修复建议:

建议升级到版本v3.5.13或更高版本以完全解决此问题,编辑cmd_config.json文件以禁用仪表板功能,或者升级到版本v3.5.13或更高版本