技術的な説明
Beifong AI News and Podcast Agent バックエンドの stream-audio エンドポイントに存在するパストラバーサル脆弱性により、攻撃者は操作されたファイルパスを通じて意図されたディレクトリ外のファイルにアクセスできます。
攻撃経路
リモート攻撃者は、FastAPI バックエンドの stream-audio エンドポイントに対して悪意のあるリクエストを作成することで、この脆弱性を悪用してサーバーファイルシステム上の権限のないファイルにアクセスできます。
影響を受けるシステム
Awesome-LLM-Apps プロジェクトのコミット e46690f99c3f08be80a9877fab52acacf7ab8251(2026-01-19)、特に Beifong AI News and Podcast Agent バックエンドコンポーネント。
緩和策
stream-audio エンドポイントに入力検証とサニタイゼーションを適用してパストラバーサル攻撃を防止します。影響を受けるコンポーネントのファイルアクセス権限を確認し、制限してください。