PT-2026-32150 · Astrbot · Astrbot

Yu_Bao

·

Publicado

2026-04-12

·

Atualizado

2026-04-14

·

CVE-2026-6118

CVSS v2.0

6.5

Média

VetorAV:N/AC:L/Au:S/C:P/I:P/A:P
Name of the Vulnerable Software and Affected Versions AstrBot versões até 4.22.1
Description Um problema de injeção de comando existe no AstrBotDevs AstrBot até a versão 4.22.1. A função add mcp server dentro do arquivo astrbot/dashboard/routes/tools.py, parte do componente MCP Endpoint, é afetada. A manipulação do argumento command pode levar à injeção de comando remota. A exploração foi divulgada publicamente.
Recommendations Recomenda-se versões anteriores a 4.22.1.

Exploit

Correção

Special Elements Injection

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-77

Identificadores relacionados

CVE-2026-6118

Produtos afetados

Astrbot