一、 漏洞 CVE-2025-46552 基础信息
漏洞信息
                                        # KHC-INVITATION-AUTOMATION 邀请自动化中的敏感用户信息泄露

## 漏洞概述
KHC-INVITATION-AUTOMATION是一个GitHub自动化脚本,用于自动邀请某bot账户的粉丝加入你的组织。在1.2版本中的一些提交记录中,发现了一个漏洞,导致用户数据(包括电子邮件地址和Discord用户名)在API响应中暴露,且缺乏适当的访问控制。

## 影响版本
1.2

## 详细信息
在1.2版本中的某些提交中,用户敏感信息(例如电子邮件地址和Discord用户名)通过API响应暴露,且没有适当访问控制。这使得未经授权的用户能够通过直接调用特定端点获取敏感用户信息。

## 影响
此问题可能导致未经授权的用户获取用户的敏感信息,带来隐私泄露风险。该问题已在1.2版本的一个后续提交中被修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
KHC-INVITATION-AUTOMATION Sensitive User Information Leakage in Invitation Automation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
KHC-INVITATION-AUTOMATION is a GitHub automation script that automatically invites followers of a bot account to join your organization. In some commits on version 1.2, a vulnerability was identified where user data, including email addresses and Discord usernames, were exposed in API responses without proper access controls. This allowed unauthorized users to access sensitive user information by directly calling specific endpoints. This issue has been patched in a later commit on version 1.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
KHC-INVITATION-AUTOMATION 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
KHC-INVITATION-AUTOMATION是Krypto Hashers开源的一个自动邀请GitHub关注者加入您的组织的工具。 KHC-INVITATION-AUTOMATION 1.2版本存在访问控制错误漏洞,该漏洞源于API响应中缺少访问控制,可能导致敏感用户信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-46552 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-46552 的情报信息