anonhaven

CVE-2026-6117

MEDIUM CVSS 4.0: 5,3 EPSS 0.04%
Обновлено 12 апреля 2026
AstrBotDevs
Параметр Значение
CVSS 5,3 (MEDIUM)
Тип уязвимости CWE-265, CWE-264 (Проблемы с правами доступа)
Поставщик AstrBotDevs
Публичный эксплойт Нет

Обнаружена уязвимость в AstrBotDevs AstrBot до версии 4.22.1. Эта проблема затрагивает функцию install_plugin_upload файла astrbot/dashboard/routes/plugin.py конечной точки установки-загрузки компонента. Манипулирование аргументом File приводит к возникновению проблемы с песочницей.

Атака может быть осуществлена ​​удаленно. Эксплойт был обнародован и может быть использован. Проект был заранее проинформирован о проблеме в отчете о проблеме, но пока не ответил.

Показать оригинальное описание (EN)

A vulnerability was found in AstrBotDevs AstrBot up to 4.22.1. This issue affects the function install_plugin_upload of the file astrbot/dashboard/routes/plugin.py of the component install-upload Endpoint. The manipulation of the argument File results in sandbox issue. The attack can be executed remotely. The exploit has been made public and could be used. The project was informed of the problem early through an issue report but has not responded yet.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-265
CWE-264 Permissions Issues (Проблемы с правами доступа)

Ссылки 5

https://github.com/AstrBotDevs/AstrBot/
cna@vuldb.com
https://github.com/AstrBotDevs/AstrBot/issues/7168
cna@vuldb.com
https://vuldb.com/submit/792653
cna@vuldb.com
https://vuldb.com/vuln/356977
cna@vuldb.com
https://vuldb.com/vuln/356977/cti
cna@vuldb.com
Share Post Share Share Share