技術的な説明
Beifong AI News and Podcast Agent バックエンドの stream-audio エンドポイントにパストラバーサル脆弱性が存在し、攻撃者が操作されたファイルパスを通じて意図されたディレクトリ外のファイルにアクセスすることが可能です。
攻撃経路
リモート攻撃者は FastAPI バックエンドの stream-audio エンドポイントに対する悪意のあるリクエストを作成することで、この脆弱性を悪用し、サーバーファイルシステム上の権限のないファイルにアクセスできます。
影響を受けるシステム
Awesome-LLM-Apps プロジェクトコミット e46690f99c3f08be80a9877fab52acacf7ab8251(2026-01-19)、特に Beifong AI News and Podcast Agent バックエンドコンポーネント。
緩和策
stream-audio エンドポイントに入力検証とサニタイゼーションを適用して、パストラバーサル攻撃を防止してください。影響を受けるコンポーネントのファイルアクセス権限をレビューして制限してください。