PT-2026-60921 · Astrbotdevs · Astrbot

·

CVE-2026-16076

·

Publicado

2026-07-18

·

Atualizado

2026-07-18

CVSS v2.0

6.5

Média

VetorAV:N/AC:L/Au:S/C:P/I:P/A:P
Nome do Software Vulnerável e Versões Afetadas AstrBotDevs AstrBot versões anteriores a 4.25.6
Description Existe uma falha de bypass de autenticação no componente API devido ao spoofing de nome de usuário. Um invasor remoto pode manipular o argumento Username dentro da função OpenApiRoute.chat send() localizada no arquivo astrbot/dashboard/routes/open api.py para ignorar os mecanismos de autenticação.
Recommendations Atualize o AstrBotDevs AstrBot para a versão 4.25.6 ou posterior. Como medida de mitigação temporária, restrinja o acesso à função OpenApiRoute.chat send().

Exploit

Correção

Authentication Bypass by Spoofing

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-16076

Produtos afetados

Astrbot