AstrBot 远程代码执行漏洞(CVE-2025-55449)

北京赛克艾威科技有限公司 2025-11-14

漏洞编号：CVE-2025-55449
漏洞等级：严重
漏洞标签：奇安信CERT验证、关键漏洞、技术细节公开、影响万级
发布时间：2025-11-14

漏洞描述

AstrBot 是 AstrBotDevs 开发的一款开源大型语言模型聊天机器人及开发框架，支持多平台部署和插件扩展。该漏洞源于 AstrBot 使用了固定的 JWT 签名密钥，攻击者可利用该密钥伪造任意有效的 JWT 认证令牌，完全绕过身份验证机制。成功绕过认证后，攻击者可访问插件管理接口，通过上传恶意的 Python 插件文件实现远程代码执行。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/429050

AstrBot 远程代码执行漏洞(CVE-2025-55449)

漏洞描述

修复建议

参考链接

联系方式

信息安全产品

信息安全服务

信息安全服务

信息安全培训

关于我们