Vulnerabilidad en AstrBot (CVE-2025-48957)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-23
Limitación incorrecta de nombre de ruta relativa a un directorio restringido (Relative Path Traversal)
Fecha de publicación:
02/06/2025
Última modificación:
25/06/2025
Descripción
AstrBot es un chatbot de modelo de lenguaje de gran tamaño y un framework de desarrollo. Una vulnerabilidad de path traversal presente en las versiones 3.4.4 a 3.5.12 podría provocar la divulgación de información, como claves de API para proveedores de LLM, contraseñas de cuentas y otros datos confidenciales. Esta vulnerabilidad se ha solucionado en la solicitud de incorporación de cambios n.º 1676 y está incluida en la versión 3.5.13. Como workaround, los usuarios pueden editar el archivo `cmd_config.json` para desactivar la función del panel. Sin embargo, se recomienda encarecidamente actualizar a la versión 3.5.13 o posterior para resolver este problema por completo.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:astrbot:astrbot:*:*:*:*:*:*:*:* | 3.4.4 (incluyendo) | 3.5.13 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/AstrBotDevs/AstrBot/commit/cceadf222c46813c7f41115b40d371e7eb91e492
- https://github.com/AstrBotDevs/AstrBot/issues/1675
- https://github.com/AstrBotDevs/AstrBot/pull/1676
- https://github.com/AstrBotDevs/AstrBot/security/advisories/GHSA-cq37-g2qp-3c2p
- https://www.vicarius.io/vsociety/posts/cve-2025-48957-detect-astrbot-dashboard-vulnerability?prevUrl=wizard
- https://www.vicarius.io/vsociety/posts/cve-2025-48957-mitigate-astrbot-dashboard-vulnerability?prevUrl=wizard
- https://github.com/AstrBotDevs/AstrBot/security/advisories/GHSA-cq37-g2qp-3c2p