| tiêu đề | AstrBotDevs AstrBot 4.22.1 Arbitrary Command Execution |
|---|
| Mô tả | AstrBot versions up to and including 4.22.1 allow authenticated dashboard users to add MCP (Model Context Protocol) server configurations via the /api/tools/mcp/add endpoint. The MCP server configuration includes a command field specifying the executable to launch and an args field for command-line arguments. These values are passed directly to subprocess execution without any validation or restriction, allowing an attacker with dashboard access to execute arbitrary system commands. |
|---|
| Nguồn | ⚠️ https://github.com/AstrBotDevs/AstrBot/issues/7169 |
|---|
| Người dùng | Yu_Bao (UID 89348) |
|---|
| Đệ trình | 30/03/2026 05:32 (cách đây 16 ngày) |
|---|
| Kiểm duyệt | 11/04/2026 10:50 (12 days later) |
|---|
| Trạng thái | được chấp nhận |
|---|
| Mục VulDB | 356978 [AstrBotDevs AstrBot đến 4.22.1 MCP Endpoint tools.py add_mcp_server command nâng cao đặc quyền] |
|---|
| điểm | 20 |
|---|