漏洞描述 AstrBot 是一个松耦合、异步、支持多消息平台部署、具有易用的插件系统和完善的大语言模型(LLM)接入功能的聊天机器人及开发框架。AstrBot存在默认管理账户astrbot/astrbot。攻击者可通过默认口令漏洞控制整个平台,使用管理员权限操作核心的功能。
相关漏洞推荐 AstrBot 存在上传插件RCE漏洞(CVE-2025-55449) AstrBot 存在未授权访问漏洞 AstrBot /api/plugin/install-upload 命令执行漏洞(CVE-2025-55449) AstrBot /api/chat/get_file 目录遍历漏洞 (CVE-2025-48957) AstrBot get_file接口存在任意文件读取(CVE-2025-48957) (CVE-2025-48957) AstrBot路径遍历漏洞导致敏感信息泄露