PT-2026-60921 · Astrbotdevs · Astrbot
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
AstrBotDevs AstrBot versões anteriores a 4.25.6
Description
Existe uma falha de bypass de autenticação no componente API devido ao spoofing de nome de usuário. Um invasor remoto pode manipular o argumento
Username dentro da função OpenApiRoute.chat send() localizada no arquivo astrbot/dashboard/routes/open api.py para ignorar os mecanismos de autenticação.Recommendations
Atualize o AstrBotDevs AstrBot para a versão 4.25.6 ou posterior.
Como medida de mitigação temporária, restrinja o acesso à função
OpenApiRoute.chat send().Exploit
Correção
Authentication Bypass by Spoofing
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Astrbot