PT-2022-23123 · Pypi · Py-Cord

Bobdotcom

Publicado

2022-08-18

Atualizado

2022-12-09

CVE-2022-36024

CVSS v4.0

8.7

Alta

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Nome do software vulnerável e versões afetadas

py-cord versão 2.0.0

Descrição

O problema afeta o py-cord, um wrapper de API Python para o Discord, permitindo o desligamento remoto de bots caso sejam adicionados a um servidor com o escopo application.commands sem o escopo bot. Parece que todos os bots públicos que utilizam comandos com barra são afetados.

Recomendações

Para a versão 2.0.0, atualize para a versão 2.0.1 para resolver o problema.

Como solução alternativa temporária, considere evitar a adição de bots a servidores com o escopo application.commands sem o escopo bot até que um patch seja aplicado.

Atualmente, não há outras soluções alternativas recomendadas.

Exploit

Correção

Improper Access Control

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-862

Identificadores relacionados

CVE-2022-36024

GHSA-QMHJ-M29V-GVMR

PYSEC-2022-43146

Produtos afetados

Py-Cord

PT-2022-23123 · Pypi · Py-Cord

CVE-2022-36024

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 10