技术说明
Beifong AI News and Podcast Agent 后端的 stream-audio 端点存在路径遍历漏洞,攻击者可以通过操纵文件路径来访问预期目录外的文件。
攻击途径
远程攻击者可以通过向 FastAPI 后端的 stream-audio 端点发送恶意请求来利用该漏洞,从而访问服务器文件系统上的未授权文件。
受影响系统
Awesome-LLM-Apps 项目提交 e46690f99c3f08be80a9877fab52acacf7ab8251(2026-01-19),特别是 Beifong AI News and Podcast Agent 后端组件。
缓解措施
对 stream-audio 端点应用输入验证和清理以防止路径遍历攻击。审查并限制受影响组件的文件访问权限。