【中危漏洞】CVE-2026-23875:CrawlChat Discord 机器人权限校验缺失导致知识库内容被篡改
漏洞概述
CrawlChat 是一个开源的、由 AI 驱动的平台,可将技术文档转化为智能聊天机器人。在版本 0.0.8 之前,其 Discord 机器人存在权限校验缺失问题,允许不具备管理权限的普通用户向知识库中注入恶意内容,从而操控机器人在所有集成渠道中的响应内容,可能造成钓鱼攻击或信息泄露等风险。
漏洞详情
- CVE 编号:CVE-2026-23875
- 漏洞类型:权限校验缺失(CWE-862:Missing Authorization)
- CVSS 评分:5.7(中危),CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
- 影响版本:CrawlChat 0.0.8 之前的所有版本
影响范围
所有使用 CrawlChat Discord 机器人且未升级至 0.0.8 或更高版本的 Discord 服务器均受影响。攻击者只需为普通成员身份,即可通过特定操作(如使用 `jigsaw` 表情)将恶意内容添加至知识库。
风险分析
由于缺乏对 MANAGE_SERVER、MANAGE_MESSAGES 等关键权限的校验,普通用户可向知识库注入伪造或恶意内容。当其他用户向机器人提问时,可能被引导至钓鱼网站、恶意链接,或泄露敏感信息。该漏洞影响所有与 CrawlChat 集成的渠道,具有较高的完整性破坏风险(Integrity Impact: HIGH)。
修复建议
- 立即升级 CrawlChat 至 0.0.8 或更高版本,该版本已修复权限校验逻辑。
- 若暂时无法升级,建议管理员临时禁用 Discord 机器人中通过表情符号(如 `jigsaw`)触发知识库更新的功能,或限制相关命令仅限管理员角色使用。
