الثغرات ›

CVE-2026-8754

متوسط

CWE-22 — نوع الضعف

                    نُشر: May 17, 2026                      ·  آخر تحديث: May 18, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was detected in AstrBotDevs AstrBot up to 4.23.5. Impacted is the function post_file of the file astrbot/dashboard/routes/chat.py of the component File Upload Handler. The manipulation of the argument filename results in path traversal. It is possible to launch the attack remotely. The exploit is now public and may be used. Upgrading to version 4.23.6 is recommended to address this issue. The patch is identified as aaec41e5054569ceaa1113593a34da7568e2d211. You should upgrade the affected component.

🤖 ملخص AI

AstrBot versions up to 4.23.5 contain a path traversal vulnerability in the file upload handler that allows remote attackers to write files outside intended directories. Upgrading to version 4.23.6 or applying patch aaec41e5054569ceaa1113593a34da7568e2d211 is required to mitigate this risk.

📄 الوصف (العربية)

تؤثر هذه الثغرة على معالج تحميل الملفات في AstrBot حيث يمكن للمهاجمين استخدام أسماء ملفات معدلة للوصول إلى مسارات خارج الدليل المقصود. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى مصادقة. الاستغلال متاح بشكل عام مما يزيد من خطر الاستهداف الفعلي.

🤖 ملخص تنفيذي (AI)

إصدارات AstrBot حتى 4.23.5 تحتوي على ثغرة اجتياز المسار في معالج تحميل الملفات التي تسمح للمهاجمين البعيدين بكتابة الملفات خارج الدلائل المقصودة. يُنصح بالترقية إلى الإصدار 4.23.6 أو تطبيق التصحيح المحدد لتخفيف هذا الخطر.

🤖 التحليل الذكي آخر تحليل: May 19, 2026 13:51

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government telecom

🎯 تقنيات MITRE ATT&CK

T1190 T1083 T1105

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade AstrBot to version 4.23.6 or later. If immediate upgrade is not possible, apply patch aaec41e5054569ceaa1113593a34da7568e2d211. Implement input validation and sanitization for filename parameters. Restrict file upload directories with proper access controls. Monitor file system for unauthorized file creation attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية AstrBot فوراً إلى الإصدار 4.23.6 أو أحدث. إذا لم تكن الترقية الفورية ممكنة، طبق التصحيح المحدد. قم بتنفيذ التحقق من صحة المدخلات وتنظيفها لمعاملات اسم الملف. قيد دلائل تحميل الملفات بضوابط وصول مناسبة. راقب نظام الملفات للكشف عن محاولات إنشاء ملفات غير مصرح بها.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1

🔵 SAMA CSF

ID.BE-1 PR.DS-1 PR.DS-2

🟡 ISO 27001:2022

A.12.2.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 7

🔗

https://gist.github.com/YLChen-007/054415c2b63e58813328bc879a90c504

cna@vuldb.com

🔗

https://github.com/AstrBotDevs/AstrBot/

cna@vuldb.com

🔗

https://github.com/AstrBotDevs/AstrBot/commit/aaec41e5054569ceaa1113593a34da7568e2d211

cna@vuldb.com

🔗

https://github.com/AstrBotDevs/AstrBot/releases/tag/v4.23.6

cna@vuldb.com

🔗

https://vuldb.com/submit/811172

cna@vuldb.com

🔗

https://vuldb.com/vuln/364381

cna@vuldb.com

🔗

https://vuldb.com/vuln/364381/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-22

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-17

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-22

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8754

عرّفنا بنفسك

تسجيل الدخول مطلوب