PT-2026-57561 · Astrbotdevs · Astrbot
Eric-A
·
Publicado
2026-07-12
·
Atualizado
2026-07-12
·
CVE-2026-15501
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
AstrBotDevs AstrBot versões anteriores a 4.25.3
Descrição
Um problema existe no componente MCP Test Endpoint dentro da função
ToolsRoute.test mcp connection() localizada no arquivo astrbot/dashboard/routes/tools.py. Um invasor remoto pode manipular o argumento mcp server config.url para realizar server-side request forgery (SSRF), uma técnica onde o servidor é coagido a fazer requisições não autorizadas a recursos internos ou externos.Recomendações
Atualize o AstrBotDevs AstrBot para a versão 4.25.3 ou posterior.
Como mitigação temporária, restrinja o acesso à função
ToolsRoute.test mcp connection().Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astrbot