支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-14317 基础信息
漏洞信息
                                        # Crazy Bubble Tea 用户枚举漏洞

## 概述
Crazy Bubble Tea 移动应用存在权限绕过漏洞,经认证的攻击者可通过枚举 `loyaltyGuestId` 参数获取其他用户的个人信息。

## 影响版本
- Android:版本 915 之前  
- iOS:版本 7.4.1 之前

## 细节
服务器在处理请求时未验证用户对目标 `loyaltyGuestId` 数据的访问权限,导致攻击者可在认证后通过篡改该参数遍历并获取其他用户的个人数据。

## 影响
攻击者可利用该漏洞获取其他用户的个人敏感信息,造成信息泄露。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
User Enumeration in Crazy Bubble Tea mobile application
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Crazy Bubble Tea mobile application authenticated attacker can obtain personal information about other users by enumerating a `loyaltyGuestId` parameter. Server does not verify the permissions required to obtain the data. This issue was fixed in version 915 (Android) and 7.4.1 (iOS).
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
侵犯隐私
来源:美国国家漏洞数据库 NVD
漏洞标题
Crazy Bubble Tea App 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Crazy Bubble Tea App是波兰Crazy Bubble Tea公司的一个珍珠奶茶点餐手机应用。 Crazy Bubble Tea App 915之前版本和7.4.1之前版本存在安全漏洞,该漏洞源于服务器未验证权限,可能导致枚举loyaltyGuestId参数获取其他用户个人信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-14317 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-14317 的情报信息

  • 标题: Podatność w aplikacji mobilnej Crazy Bubble Tea | CERT Polska -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ### 关键信息

- **CVE ID**: CVE-2025-14317
- **发布日期**: 2026年1月14日
- **受影响软件生产商**: Emaintenance
- **受影响软件名称**: Crazy Bubble Tea
- **受影响版本**: 所有低于915的版本(Android)以及7.4.1(iOS)
- **漏洞类型**: 未经授权的访问导致的个人信息泄露 (CWE-359)
- **报告来源**: CERT Polska

### 漏洞描述

CERT Polska收到了关于Emaintenance的Crazy Bubble Tea移动应用程序中的漏洞报告,并协调了信息泄露的处理过程。

CVE-2025-14317漏洞描述:攻击者可以通过枚举`loyaltyGuestId`参数来获取应用程序用户的个人数据。服务器没有验证访问这些数据所需的权限。

该漏洞已在版本915(Android)以及7.4.1(iOS)中得到修复。

### 致谢

感谢Tobiaszowi "Palidon" Kostrzewie报告此漏洞。
    Podatność w aplikacji mobilnej Crazy Bubble Tea | CERT Polska

  • 标题: Aplikacja Crazy Bubble – Losuj Smaki i Zbieraj Nagrody! -- 🔗来源链接

    标签:product

    神龙速读:
                                            - **Webpage Language**: The website is in Polish.
- **Cookie Warning**: There is a cookie consent pop-up indicating the site uses cookies for various functions.
- **Application Promotion**: The page heavily promotes the Crazy Bubble app available on both Google Play and App Store.
- **Callable Phone Numbers**: Visible phone numbers which, if not properly masked, can be a privacy concern.
- **Email Address**: The email address `info@crazybubble.pl` is visible and not obscured, which can lead to unsolicited emails or spam.
- **Potential CSRF Vulnerability**: The potential lack of CSRF tokens in forms, if any are present elsewhere on the site.
- **Information Disclosure**: The contact and company details are publicly exposed including the NIP (Tax Identification Number).
- **No Evidence of HTTPS**: Just from this screenshot, we cannot confirm if the website is using HTTPS, which is a security concern.
- **No Visible Error Messages or Input Fields**: There are no visible login forms or error messages that could indicate SQL injection or other related vulnerabilities from this screenshot.
- **Entire URL Not Shown**: The URL of the page is not visible, so we can't determine if the URL structure might reveal sensitive information.
    Aplikacja Crazy Bubble – Losuj Smaki i Zbieraj Nagrody!
  • https://nvd.nist.gov/vuln/detail/CVE-2025-14317
四、漏洞 CVE-2025-14317 的评论
匿名用户
2026-01-15 06:08:24

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论