Kenny2Github

**Name of the Vulnerable Software and Affected Versions** kenny2automate versions prior to commit a947d7c **Description** The issue concerns a Discord bot where form elements in the web interface for server settings were generated with Discord channel IDs as part of input names. No validation was performed to ensure that the channel IDs submitted actually belonged to the server being configured. This allowed anyone with access to the channel ID and the server settings panel to change settings for the requested channel, regardless of the server it belonged to. **Recommendations** For versions prior to commit a947d7c, update to a version that includes commit a947d7c to resolve the issue. As a temporary workaround for those who run their own instance of the bot, consider disabling the web config entirely by changing it to run on localhost.

**Nome do software vulnerável e versões afetadas: ScratchOAuth2 (versões afetadas não especificadas) Descrição: A vulnerabilidade permite que um site de terceiros acesse e modifique os dados de um usuário do Scratch, fingindo ser o usuário e obtendo um código de login do ScratchOAuth2. Isso é feito por meio de uma série de etapas nas quais o site de terceiros induz o usuário a publicar um código de login em seu perfil, que o site de terceiros então utiliza para concluir o processo de login e obter acesso total à conta do usuário. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do ScratchVerifier anteriores ao commit a603769 **Descrição** Um invasor pode se apropriar do processo de verificação para acessar a conta de outra pessoa em qualquer site que utilize o ScratchVerifier para logins. A exploração envolve as seguintes etapas: 1. O usuário inicia o processo de login. 2. O invasor tenta fazer o login pelo usuário e recebe o mesmo código de verificação. 3. O usuário digita o código como parte de seu login normal. 4. Antes que o usuário consiga, o invasor conclui o processo de login agora que o código foi digitado. 5. O usuário recebe uma mensagem de login com falha, e o invasor agora tem controle da conta. Este problema afeta principalmente usuários que digitam o código e demoram vários segundos para concluir o login. **Recomendações** Para versões do ScratchVerifier anteriores ao commit a603769, atualize para uma versão que inclua a correção, pois, a partir do commit a603769, iniciar um login duas vezes gerará códigos de verificação diferentes, fazendo com que tanto o login do usuário quanto o do invasor falhem. Como solução temporária, considere concluir o processo de login o mais rápido possível após comentar o código para minimizar o risco de exploração. Restrinja o acesso ao processo de verificação apenas a usuários confiáveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Scratch Login (extensão do MediaWiki) versões anteriores à 1.1 **Descrição** A vulnerabilidade permite que qualquer conta seja acessada usando o mesmo nome de usuário com sublinhados à esquerda, à direita ou repetidos, uma vez que estes são tratados como espaços em branco e removidos pelo MediaWiki. Isso afeta todos os usuários em qualquer wiki que utilize a extensão Scratch Login. **Recomendações** Para versões anteriores à 1.1, atualize para a versão 1.1 ou posterior para resolver o problema.