PT-2026-60919 · Astrbot · Astrbot

·

CVE-2026-16075

·

Publicado

2026-07-18

·

Atualizado

2026-07-18

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas AstrBot versões anteriores a 4.25.6
Description Um bypass de autorização existe no endpoint de listagem de sessões. O problema reside na função OpenApiRoute.get chat sessions() dentro do arquivo astrbot/dashboard/routes/open api.py. Um invasor remoto pode explorar isso manipulando o argumento Username para ignorar os mecanismos de autorização.
Recommendations Atualize para uma versão posterior a 4.25.5. Como mitigação temporária, restrinja o acesso à função OpenApiRoute.get chat sessions().

Exploit

Correção

Improper Authorization

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-16075

Produtos afetados

Astrbot