PT-2026-60922 · Astrbot · Astrbot
CVSS v3.1
5.3
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
AstrBot versões anteriores a 4.25.6
Description
Um problema existe na ferramenta Filesystem Computer-Use dentro da função
normalize rw path() do arquivo astrbot/core/tools/computer tools/fs.py. Um invasor local pode realizar uma manipulação que resulta em link following, que ocorre quando o software segue um link simbólico para acessar um arquivo ou diretório fora do escopo pretendido.Recommendations
Atualize para uma versão posterior a 4.25.5.
Como mitigação temporária, restrinja o acesso local ao sistema para evitar a exploração da função
normalize rw path().Exploit
Correção
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astrbot