PT-2022-15022 · Unknown · Puddingbot
Happy-Ferret
·
Publicado
2022-01-11
·
Atualizado
2023-08-02
·
CVE-2022-21669
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
PuddingBot versões 0.0.6-b933652 e anteriores
Descrição
O PuddingBot é um bot de gerenciamento de grupos. Nas versões afetadas, o token do bot está exposto publicamente no arquivo main.py, tornando-o acessível a agentes mal-intencionados. O token do bot foi revogado e uma nova versão já está em execução no servidor. Os mantenedores planejam atualizar o código para refletir essa alteração em uma data posterior.
Recomendações
Para as versões 0.0.6-b933652 e anteriores do PuddingBot, considere atualizar para uma versão em que a falha de exposição do token do bot tenha sido corrigida, assim que o código atualizado estiver disponível pelos mantenedores. Como solução temporária, certifique-se de que o acesso ao arquivo main.py seja restrito para minimizar o risco de exploração.
Exploit
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Puddingbot