CVE

Vulnerabilidad en SudoBot (CVE-2024-45307)

Severidad:
CRÍTICA
Type:
No Disponible / Otro tipo
Fecha de publicación:
03/09/2024
Última modificación:
07/09/2024

Descripción

SudoBot, un bot de moderación de Discord, es vulnerable a la escalada de privilegios y al exploit del comando `-config` en versiones anteriores a la 9.26.7. En teoría, cualquiera puede actualizar cualquier configuración del bot y potencialmente obtener control sobre las configuraciones del bot. Todas las versiones de v9 anteriores a la v9.26.7 están afectadas. Otras versiones (por ejemplo, v8) no están afectadas. Los usuarios deben actualizar a la versión 9.26.7 para recibir un parche. Un workaround sería crear una sobrescritura de permiso de comando en la base de datos. Se puede ejecutar una declaración SQL provista en el Asesor de seguridad de GitHub para crear una sobrescritura que no permita a los usuarios sin permiso `ManageGuild` ejecutar el comando `-config`. Ejecute la declaración SQL para cada servidor en el que esté el bot y reemplace `` con el ID de gremio apropiado cada vez.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:onesoftnet:sudobot:*:*:*:*:*:*:*:* 9.0.0 (incluyendo) 9.26.7 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información