CVE-2025-65957 - Core Bot在日志、错误和消息中泄露敏感凭证
概述
漏洞时间线
描述
Core Bot是一个为《Maple Hospital》服务器设计的开源Discord机器人。在提交dffe050之前,API密钥(SUPABASE_API_KEY,TOKEN)通过环境变量加载,但在代码中(错误处理、摘要、Webhooks)存在一些情况,配置摘要可能会无意中泄露敏感数据(例如,未能编辑摘要嵌入或日志中的数据)。此问题已通过提交dffe050修复。
信息
发布日期:2025年11月26日 00:15 最后修改日期:2025年11月26日 00:15 远程可利用:是! 来源:security-advisories@github.com
受影响产品
以下产品受到CVE-2025-65957漏洞的影响。即使cvefeed.io知晓受影响产品的确切版本,该信息也未在下表中表示。
- 尚无受影响产品记录
-
受影响供应商总数:0 | 产品数:0
CVSS评分
通用漏洞评分系统(CVSS)是用于评估软件和系统中漏洞严重性的标准化框架。我们为每个CVE收集并显示来自不同来源的CVSS评分。
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 8.8 | CVSS 4.0 | 高 | security-advisories@github.com |
解决方案
将机器人更新到补丁提交dffe050,以防止敏感数据意外泄露。
- 将Core Bot更新到提交dffe050。
- 审查日志记录和错误处理中的敏感数据。
- 确保API密钥在所有输出中都被编辑。
公告、解决方案和工具参考
在这里,您将找到与CVE-2025-65957相关的、提供深入信息、实用解决方案和有价值工具的外部链接精选列表。
| URL | 资源 |
|---|---|
| https://github.com/Intercore-Productions/Core-Bot/commit/dffe050d565a580edfcd0242efa45da88ab31260 | |
| https://github.com/Intercore-Productions/Core-Bot/security/advisories/GHSA-42j6-x28v-38r8 |
CWE - 通用缺陷枚举
CVE标识特定的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-65957与以下CWE相关联:
CWE-200:向未授权参与者暴露敏感信息
常见攻击模式枚举与分类(CAPEC)
常见攻击模式枚举与分类(CAPEC)存储攻击模式,这些模式描述了攻击者利用CVE-2025-65957弱点所采用的常见属性和方法。
CAPEC-13:篡改环境变量值 CAPEC-22:利用客户端信任 CAPEC-59:通过预测会话凭证伪造 CAPEC-60:重用会话ID(又称会话重放) CAPEC-79:使用斜杠的替代编码 CAPEC-116:挖掘 CAPEC-169:足迹勘察 CAPEC-224:指纹识别 CAPEC-285:ICMP回显请求Ping CAPEC-287:TCP SYN扫描 CAPEC-290:枚举邮件交换(MX)记录 CAPEC-291:DNS区域传输 CAPEC-292:主机发现 CAPEC-293:Traceroute路由枚举 CAPEC-294:ICMP地址掩码请求 CAPEC-295:时间戳请求 CAPEC-296:ICMP信息请求 CAPEC-297:TCP ACK Ping CAPEC-298:UDP Ping CAPEC-299:TCP SYN Ping CAPEC-300:端口扫描 CAPEC-301:TCP连接扫描 CAPEC-302:TCP FIN扫描 CAPEC-303:TCP Xmas扫描 CAPEC-304:TCP Null扫描 CAPEC-305:TCP ACK扫描 CAPEC-306:TCP窗口扫描 CAPEC-307:TCP RPC扫描 CAPEC-308:UDP扫描 CAPEC-309:网络拓扑映射 CAPEC-310:扫描易受攻击的软件 CAPEC-312:主动操作系统指纹识别 CAPEC-313:被动操作系统指纹识别 CAPEC-317:IP ID序列探测 CAPEC-318:IP ‘ID’ 回显字节序探测 CAPEC-319:IP(DF)‘不分段位’ 回显探测 CAPEC-320:TCP时间戳探测 CAPEC-321:TCP序列号探测 CAPEC-322:TCP(ISN)最大公约数探测 CAPEC-323:TCP(ISN)计数器速率探测 CAPEC-324:TCP(ISN)序列可预测性探测 CAPEC-325:TCP拥塞控制标志(ECN)探测 CAPEC-326:TCP初始窗口大小探测 CAPEC-327:TCP选项探测 CAPEC-328:TCP ‘RST’ 标志校验和探测 CAPEC-329:ICMP错误消息引用探测 CAPEC-330:ICMP错误消息回显完整性探测 CAPEC-472:浏览器指纹识别 CAPEC-497:文件发现 CAPEC-508:肩窥 CAPEC-573:进程足迹勘察 CAPEC-574:服务足迹勘察 CAPEC-575:账户足迹勘察 CAPEC-576:组权限足迹勘察 CAPEC-577:所有者足迹勘察 CAPEC-616:建立伪装位置 CAPEC-643:识别系统上的共享文件/目录 CAPEC-646:外围设备足迹勘察 CAPEC-651:窃听
我们扫描GitHub仓库以检测新的概念验证漏洞利用。以下列表是在GitHub上发布的公共漏洞利用和概念验证的集合(按最近更新排序)。由于可能的性能问题,结果限制在前15个仓库。
以下列表是在文章中提及CVE-2025-65957漏洞的新闻。由于可能的性能问题,结果限制在前20篇新闻文章。
漏洞历史记录
以下表格列出了CVE-2025-65957漏洞随时间发生的变化。漏洞历史记录详细信息可用于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新变化。
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | Core Bot是一个为《Maple Hospital》服务器设计的开源Discord机器人。在提交dffe050之前,API密钥(SUPABASE_API_KEY,TOKEN)通过环境变量加载,但在代码中(错误处理、摘要、Webhooks)存在一些情况,配置摘要可能会无意中泄露敏感数据(例如,未能编辑摘要嵌入或日志中的数据)。此问题已通过提交dffe050修复。 | |
| 新增 | CVSS V4.0 | AV:N/AC:H/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:L/SI:H/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 新增 | CWE | CWE-200 | |
| 新增 | 参考 | https://github.com/Intercore-Productions/Core-Bot/commit/dffe050d565a580edfcd0242efa45da88ab31260 | |
| 新增 | 参考 | https://github.com/Intercore-Productions/Core-Bot/security/advisories/GHSA-42j6-x28v-38r8 |
EPSS(漏洞利用预测评分系统)是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史。
信息泄露
漏洞评分详情
CVSS 4.0
基本CVSS评分:8.8
| 攻击向量 | 攻击复杂度 | 攻击要求 | 所需权限 | 用户交互 | VS机密性 | VS完整性 | VS可用性 | SS机密性 | SS完整性 | SS可用性 |
|---|---|---|---|---|---|---|---|---|---|---|
| 攻击向量 网络 相邻 本地 物理 |
攻击复杂度 低 高 |
攻击要求 无 存在 |
所需权限 无 低 高 |
用户交互 无 被动 主动 |
VS机密性 高 低 无 |
VS完整性 高 低 无 |
VS可用性 高 低 无 |
SS机密性 高 低 无 |
SS完整性 高 低 无 |
SS可用性 高 低 无 |