A vulnerability was detected in AstrBotDevs AstrBot up to 4.23.5. Impacted is the function post_file of the file astrbot/dashboard/routes/chat.py of the component File Upload Handler. The manipulation of the argument filename results in path traversal. It is possible to launch the attack remotely. The exploit is now public and may be used. Upgrading to version 4.23.6 is recommended to address this issue. The patch is identified as aaec41e5054569ceaa1113593a34da7568e2d211. You should upgrade the affected component.
AstrBot versions up to 4.23.5 contain a path traversal vulnerability in the file upload handler that allows remote attackers to write files outside intended directories. Upgrading to version 4.23.6 or applying patch aaec41e5054569ceaa1113593a34da7568e2d211 is required to mitigate this risk.
تؤثر هذه الثغرة على معالج تحميل الملفات في AstrBot حيث يمكن للمهاجمين استخدام أسماء ملفات معدلة للوصول إلى مسارات خارج الدليل المقصود. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى مصادقة. الاستغلال متاح بشكل عام مما يزيد من خطر الاستهداف الفعلي.
إصدارات AstrBot حتى 4.23.5 تحتوي على ثغرة اجتياز المسار في معالج تحميل الملفات التي تسمح للمهاجمين البعيدين بكتابة الملفات خارج الدلائل المقصودة. يُنصح بالترقية إلى الإصدار 4.23.6 أو تطبيق التصحيح المحدد لتخفيف هذا الخطر.
Immediately upgrade AstrBot to version 4.23.6 or later. If immediate upgrade is not possible, apply patch aaec41e5054569ceaa1113593a34da7568e2d211. Implement input validation and sanitization for filename parameters. Restrict file upload directories with proper access controls. Monitor file system for unauthorized file creation attempts.
قم بترقية AstrBot فوراً إلى الإصدار 4.23.6 أو أحدث. إذا لم تكن الترقية الفورية ممكنة، طبق التصحيح المحدد. قم بتنفيذ التحقق من صحة المدخلات وتنظيفها لمعاملات اسم الملف. قيد دلائل تحميل الملفات بضوابط وصول مناسبة. راقب نظام الملفات للكشف عن محاولات إنشاء ملفات غير مصرح بها.