文章总结: AstrBot开源AI聊天机器人框架的旧版本(≤3.5.17)存在远程代码执行漏洞(CVE-2025-55449),由于硬编码JWT签名密钥,未授权攻击者可伪造身份令牌获取任意用户权限,并通过install-upload接口上传恶意插件实现任意代码执行,导致服务器失陷。修复方案包括升级至最新版本或通过安全组限制Web管理接口仅对可信地址开放。 综合评分: 81 文章分类: 漏洞分析,威胁情报,漏洞预警
威胁情报 | AstrBot JWT认证绕过漏洞
0xSecDebug
2025年11月24日 14:34 江苏
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具和内容均来自网络,仅做学习和记录使用,安全性自测,如有侵权请联系删除。
- CVE编号: CVE-2025-55449
- 危害定级: 严重
- 漏洞标签: POC已公开
- 披露日期: 2025-11-24
- 推送原因: 漏洞创建
- 信息来源: https://avd.aliyun.com/detail?id=AVD-2025-55449
漏洞描述
AstrBot 是一款开源的 AI 聊天机器人框架,其旧版本(≤3.5.17)的 Web 管理接口存在远程代码执行漏洞(CVE-2025-55449),由于硬编码 JWT 签名密钥,未授权远程攻击者可伪造身份令牌,获取任意用户权限。后续可通过 install-upload 接口上传恶意插件,实现任意代码执行,导致服务器失陷。
修复方案
- 升级至最新版本。
- 利用安全组设置其仅对可信地址开放。
参考链接
- https://github.com/advisories/GHSA-4m32-cjv7-f425
开源检索
暂未找到
查看原文:《威胁情报 | AstrBot JWT认证绕过漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论