anonhaven

CVE-2026-6118

MEDIUM CVSS 4.0: 5,3 EPSS 3.31%
Обновлено 12 апреля 2026
Параметр Значение
CVSS 5,3 (MEDIUM)
Тип уязвимости CWE-74 (Внедрение), CWE-77 (Внедрение команд)
Публичный эксплойт Нет

Обнаружена уязвимость в AstrBotDevs AstrBot до версии 4.22.1. Затронута функция add_mcp_server файла astrbot/dashboard/routes/tools.py компонента MCP Endpoint. Эта манипуляция командой аргумента приводит к внедрению команды.

Атаку можно провести удаленно. Эксплойт был публично раскрыт и может быть использован. Проект был заранее проинформирован о проблеме в отчете о проблеме, но пока не ответил.

Показать оригинальное описание (EN)

A vulnerability was determined in AstrBotDevs AstrBot up to 4.22.1. Impacted is the function add_mcp_server of the file astrbot/dashboard/routes/tools.py of the component MCP Endpoint. This manipulation of the argument command causes command injection. The attack is possible to be carried out remotely. The exploit has been publicly disclosed and may be utilized. The project was informed of the problem early through an issue report but has not responded yet.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-74 Injection (Внедрение)
CWE-77 Command Injection (Внедрение команд)

Ссылки 5

https://github.com/AstrBotDevs/AstrBot/
cna@vuldb.com
https://github.com/AstrBotDevs/AstrBot/issues/7169
cna@vuldb.com
https://vuldb.com/submit/792655
cna@vuldb.com
https://vuldb.com/vuln/356978
cna@vuldb.com
https://vuldb.com/vuln/356978/cti
cna@vuldb.com
Share Post Share Share Share