漏洞关键信息 概要 标题: Discord Bot: Knowledge Permission vulnerability CVE ID: CVE-2026-23875 严重性: 中等 发布者: pskd73 发布时间: 昨天 影响的版本和修复版本 受影响版本: v0.0.8 描述 摘要 一个不存在的权限检查导致Discord机器人允许非管理员guild用户在Knowledge知识库中放置恶意内容。 详细信息 通常,Discord guild的管理员或版主会使用绿色勾号表情将特定消息(链)保存到CrawlChat集合的知识库中。遗憾的是,没有对例如MANAGE_SERVER、MANAGE_MESSAGES等的权限检查,允许guild的普通用户向bot提供的信息中添加内容。通过操纵一些问题中共同被授予的权限,用户可以操纵bot提供的内容(在所有集成中),例如: 重定向用户到恶意站点 传输敏感信息给恶意用户 例如,对其添加管理员、管理服务器等的权限检查可以解决这一漏洞。 证据(PoC) 1. 将CrawlChat机器人邀请到Discord guild中。 2. 将CrawlChat集合链接到特定的guild上。 3. 使用无管理权限的Discord账户登录(例如:管理服务器、管理员等)。 4. 撰写恶意(或用于测试的正常)消息,并用绿色勾号表情进行反馈。 5. 等待机器人对绿色勾号做出反馈。 6. 检查Knowledge的用户界面查看消息是否已添加到知识库中。 影响 所有安装了Discord bot的guild中的用户 / 团队 / 集合。