Zurück zur Liste

AstrBot is vulnerable to RCE with hard-coded JWT signing keys — CVE-2025-55449

GitHub · GitHub · CVE-2025-55449

ID
CVE-2025-55449
Datum
Aktualisiert
Activity
Quelle
GitHub
Vendor
GitHub
Risiko
critical
CVSS
9.8
EPSS
0.0001

Zusammenfassung

### Summary AstrBot uses a hard-coded JWT signing key, allowing attackers to execute arbitrary commands by installing a malicious plugin. ### Details AstrBot uses a [hard-coded JWT signing key](https://github.com/AstrBotDevs/AstrBot/blob/v3.5.16/astrbot/core/__init__.py), which allows attackers to bypass the authentication mechanism. Once bypassed, the attacker can install a Python plugin that will be imported…

Produkt

pip: astrbot

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

  • Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
  • Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
  • Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
  • Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W20