一、 漏洞 CVE-2025-53374 基础信息
漏洞信息
                                        # Dokploy 通过 user.one 端点不当披露用户信息

## 漏洞概述
Dokploy 是一个可自我托管的平台即服务 (PaaS),它简化了应用程序和数据库的部署和管理。一个经过身份验证的低权限账户可以直接调用 `user.one` 方法来获取同一组织内其他用户的详细信息。

## 影响版本
- 修复版本:v0.23.7(修复将在该版本中提供)

## 细节
经过身份验证的低权限账户可以通过直接调用 `user.one` 方法来获取同一组织内其他用户的详细信息。响应中会泄露用户的个人身份信息 (PII),包括电子邮件地址、角色、双因素身份验证状态、组织 ID 以及各种账户标志。

## 影响
低权限账户可以获取其他用户的个人可识别信息 (PII),存在隐私泄露风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Dokploy Improperly Discloses User Information via user.one Endpoint
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Dokploy is a self-hostable Platform as a Service (PaaS) that simplifies the deployment and management of applications and databases. An authenticated low-privileged account can retrieve detailed profile information about another users in the same organization by directly invoking user.one. The response discloses personally-identifiable information (PII) such as e-mail address, role, two-factor status, organization ID, and various account flags. The fix will be available in the v0.23.7.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
侵犯隐私
来源:美国国家漏洞数据库 NVD
漏洞标题
Dokploy 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Dokploy是Dokploy开源的一个开源软件。 Dokploy 0.23.7之前版本存在安全漏洞,该漏洞源于低权限账户可检索其他用户详细信息,可能导致信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-53374 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-53374 的情报信息