AstrBot er en selvhostet chatbot-plattform, og som mange slike kjører den et dashbord der du kobler til MCP-servere og tester at forbindelsen virker. Det er den testknappen som er problemet. NVD publiserte 12. juli CVE-2026-15501, en SSRF-sårbarhet (CWE-918) i funksjonen ToolsRoute.test_mcp_connection i astrbot/dashboard/routes/tools.py. Ved å manipulere argumentet mcp_server_config.url får angriperen serveren til å sende forespørselen dit han vil, ikke dit du trodde.
Alvorlighetsgraden avhenger av hvem du spør. NVD oppgir 6,3 (medium) etter CVSS 3.1, men bare 2,1 (lav) etter CVSS 4.0. Begge forutsetter at angriperen allerede har en konto med lave rettigheter i dashbordet, og angrepet kan utføres over nett. Det som løfter risikoen i praksis, er hva en server typisk kan nå som du ikke kan utenfra: tjenester på det interne nettet og andre containere i samme oppsett.
To ting gjør saken mer ubehagelig enn tallene tilsier. Utnyttelsen er allerede offentliggjort, og leverandøren ble kontaktet tidlig, men svarte ikke. Alle versjoner til og med 4.25.2 er rammet, og ingen fiks er publisert i skrivende stund.
Mønsteret er ikke nytt. Pulsen har omtalt både SSRF-bypassen i Flowise og SSRF-hullet i LMDeploy. Selvhostet KI-verktøy har en tilbakevendende svakhet: endepunkter som er bygget for at du skal peke serveren mot en URL, og som derfor er en SSRF-primitiv rett ut av eska hvis validering mangler.
Hva bør du gjøre?
- Sperr AstrBot-dashbordet mot internett. Legg det bak VPN eller en reverse proxy med tilgangskontroll, slik at ingen uvedkommende kan skaffe seg den lavprivilegerte kontoen angrepet forutsetter.
- Gå gjennom hvem som har konto i dashbordet, og fjern dem som ikke trenger den. Sårbarheten krever innlogging, så kontolista er ditt effektive angrepsflate.
- Begrens hva AstrBot-prosessen kan nå utgående. Kjør den i et eget nettverkssegment eller med egne brannmurregler, slik at en forespørsel fra serveren ikke treffer interne tjenester eller metadata-endepunkter.