关键漏洞信息 漏洞概述 漏洞名称: Builtin .echo command injection CVE ID: CVE-2025-47948 严重性: High (7.2/10) 受影响版本: > 1.5.0-test2-hotfix, <= 1.6.1 修复版本: 1.6.2 描述 总结: 框架中的命令回显功能允许用户通过注入特定平台标签间接触发特权行为。特别是,未经授权的用户可以使用 命令使机器人发送提及聊天中所有成员的消息,绕过任何权限控制。这可能导致垃圾信息、干扰或滥用通知系统。 详细信息: 框架提供了一个 命令,使机器人在群聊中重复任何用户提供的消息。然而,框架未能对 等平台特定控制元素进行清理或过滤,当包含在消息中时,会提及所有人(即 @全体成员)。虽然普通用户在正常聊天中被禁止使用此标签,但具有更高权限的机器人却被允许这样做。 PoC (概念验证) 1. 使用受影响的框架设置一个聊天机器人。 2. 以无权使用 @全体成员的普通用户身份加入包含机器人的聊天。 3. 在聊天中发送以下消息: 4. 机器人将重复该消息,平台将解释 为 @全体成员提及。 5. 所有聊天成员都会收到通知,尽管用户缺乏该权限。 CVSS v3 基本指标 攻击向量: Network 攻击复杂度: Low 所需权限: None 用户交互: None 范围: Changed 机密性影响: None 完整性影响: Low 可用性影响: Low 弱点 CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')