Vulnerabilidad en SudoBot (CVE-2024-45307)
Severidad:
CRÍTICA
Type:
No Disponible / Otro tipo
Fecha de publicación:
03/09/2024
Última modificación:
07/09/2024
Descripción
SudoBot, un bot de moderación de Discord, es vulnerable a la escalada de privilegios y al exploit del comando `-config` en versiones anteriores a la 9.26.7. En teoría, cualquiera puede actualizar cualquier configuración del bot y potencialmente obtener control sobre las configuraciones del bot. Todas las versiones de v9 anteriores a la v9.26.7 están afectadas. Otras versiones (por ejemplo, v8) no están afectadas. Los usuarios deben actualizar a la versión 9.26.7 para recibir un parche. Un workaround sería crear una sobrescritura de permiso de comando en la base de datos. Se puede ejecutar una declaración SQL provista en el Asesor de seguridad de GitHub para crear una sobrescritura que no permita a los usuarios sin permiso `ManageGuild` ejecutar el comando `-config`. Ejecute la declaración SQL para cada servidor en el que esté el bot y reemplace `` con el ID de gremio apropiado cada vez.
Impacto
Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:onesoftnet:sudobot:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.26.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página