PT-2026-57561 · Astrbotdevs · Astrbot

Eric-A

·

Publicado

2026-07-12

·

Atualizado

2026-07-12

·

CVE-2026-15501

CVSS v2.0

6.5

Média

VetorAV:N/AC:L/Au:S/C:P/I:P/A:P
Nome do Software Vulnerável e Versões Afetadas AstrBotDevs AstrBot versões anteriores a 4.25.3
Descrição Um problema existe no componente MCP Test Endpoint dentro da função ToolsRoute.test mcp connection() localizada no arquivo astrbot/dashboard/routes/tools.py. Um invasor remoto pode manipular o argumento mcp server config.url para realizar server-side request forgery (SSRF), uma técnica onde o servidor é coagido a fazer requisições não autorizadas a recursos internos ou externos.
Recomendações Atualize o AstrBotDevs AstrBot para a versão 4.25.3 ou posterior. Como mitigação temporária, restrinja o acesso à função ToolsRoute.test mcp connection().

Exploit

Correção

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-15501

Produtos afetados

Astrbot