一、 漏洞 CVE-2025-48957 基础信息
漏洞信息
# AstrBot在/api/chat/get_file中存在路径遍历漏洞
## 漏洞概述
AstrBot 是一个大型语言模型聊天机器人和开发框架,其中存在路径遍历漏洞,可能导致敏感信息泄露,例如语言模型提供商的API密钥、账户密码和其他敏感数据。
## 影响版本
- 版本 3.4.4 至 3.5.12
## 漏洞细节
路径遍历漏洞存在于版本 3.4.4 至 3.5.12 中,可能泄露 API 密钥、账户密码和其他敏感数据。该漏洞已在 Pull Request #1676 中修复,并包含在 3.5.13 版本中。
## 影响
- 可导致 API 密钥、账户密码和其他敏感数据泄露。
- 推荐升级到版本 v3.5.13 或更高版本以完全解决该问题。
- 临时修复方法:编辑 `cmd_config.json` 文件以禁用仪表板功能。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-48957 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-48957 的情报信息
-
标题: Fix: fixed a potential vulnerability in `/api/chat/get_file` endpoint. by Soulter · Pull Request #1676 · AstrBotDevs/AstrBot · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: [Security] Unauthorized Path Traversal Vulnerability in /api/chat/get_file of AstrBotDevs/AstrBot · Issue #1675 · AstrBotDevs/AstrBot -- 🔗来源链接
标签: x_refsource_MISC
神龙速读![[Security] Unauthorized Path Traversal Vulnerability in /api/chat/get_file of AstrBotDevs/AstrBot · Issue #1675 · AstrBotDevs/AstrBot](https://cvepdf.imfht.com:2443//ti_screenshot/2025-06-02/screenshot-full-2025-06-02T16-36-42.069Z-3c3d38929877910150d3.webp)
-
标题: Path Traversal Vulnerability in /api/chat/get_file · Advisory · AstrBotDevs/AstrBot · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: Merge pull request #1676 from AstrBotDevs/fix-chat-get-file-bug · AstrBotDevs/AstrBot@cceadf2 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-48957