CVE-2024-35237

Versões do MIT IdentiBot anteriores ao commit 48e3e5e7ead6777fa75d57c7711c8e55b501c24e

Uma vulnerabilidade no MIT IdentiBot, um bot de código aberto do Discord, permite o acesso não autorizado a informações confidenciais sobre usuários do Discord que tenham verificado sua afiliação ao MIT. O problema surge porque o IdentiBot não verifica se um servidor está autorizado antes de permitir que os membros executem determinados comandos, como /kerbid, que podem revelar o nome completo de um usuário e outras informações. Essa vulnerabilidade afeta instâncias do IdentiBot vinculadas a um aplicativo “público” do Discord que não tenham sido corrigidas. O número estimado de dispositivos ou usuários potencialmente afetados não foi especificado.

Para evitar a exploração da vulnerabilidade, todas as instâncias vulneráveis do MIT IdentiBot devem ser colocadas offline até que sejam atualizadas para a versão mais recente, que contém uma correção para este problema, implementada no commit 48e3e5e7ead6777fa75d57c7711c8e55b501c24e. Como solução alternativa temporária, considere desativar a execução de comandos de barra e de usuário em servidores não autorizados até que o patch seja aplicado.