AstrBot get_file接口存在任意文件读取漏洞CVE-2025-48957

admin

AstrBot是一个大型语言模型聊天机器人和开发框架。版本3.4.4至3.5.12中存在路径遍历漏洞，可能导致信息泄露，如LLM提供商的API密钥、账户密码和其他敏感数据。漏洞已在Pull Request #1676中得到解决，并包含在版本3.5.13中。作为临时解决方案，用户可以编辑cmd_config.json文件以禁用仪表板功能。但是，强烈建议升级到版本v3.5.13或更高版本以完全解决此问题。


CVE编号:CVE-2025-48957
页面如下


资产确定：FOFA  

游客，如果您要查看本帖隐藏内容请回复