LOW🇬🇧 English

CVE-2026-6117

CVSS 2.1v4.0pub. 2026-04-12upd. 2026-04-29

Wykryto podatność w AstrBotDevs AstrBot do wersji 4.22.1. Problem dotyczy funkcji install_plugin_upload w pliku astrbot/dashboard/routes/plugin.py komponentu install-upload Endpoint. Manipulacja argumentem File prowadzi do ominięcia sandbox. Atak można wykonać zdalnie, a exploit został już opublikowany. Projekt został o problemie powiadomiony, ale jeszcze nie odpowiedział.

Pokaż oryginał (EN)

A vulnerability was found in AstrBotDevs AstrBot up to 4.22.1. This issue affects the function install_plugin_upload of the file astrbot/dashboard/routes/plugin.py of the component install-upload Endpoint. The manipulation of the argument File results in sandbox issue. The attack can be executed remotely. The exploit has been made public and could be used. The project was informed of the problem early through an issue report but has not responded yet.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje