PT-2024-28723 · Unknown · Red Discord Bot
Flame442
+1
·
Publicado
2024-07-11
·
Atualizado
2024-07-11
·
CVE-2024-39905
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Red-DiscordBot anteriores à 3.5.10
Descrição
Um bug na API Core do Red pode permitir que um usuário execute um comando mesmo quando esse usuário não possui permissões para gerenciar um canal. Este problema afeta cogs de terceiros que utilizam a verificação de permissão do comando
@commands.can manage channel() sem controles de permissão adicionais. Nenhum dos comandos principais ou cogs principais é afetado. Os mantenedores do projeto não têm conhecimento de nenhum cog público de terceiros que utilize esta API no momento da redação deste aviso.Recomendações
Para versões anteriores à 3.5.10, atualize para a versão 3.5.10 para resolver o problema.
Como solução temporária, considere desativar qualquer cog que utilize a verificação de permissão de comando
@commands.can manage channel() até que seja possível realizar a atualização para uma versão corrigida.Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Red Discord Bot