PT-2024-30562 · Megabot+1 · Megabot+1
Nicpwns
·
Publicado
2024-08-20
·
Atualizado
2024-08-26
·
CVE-2024-43404
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do MEGABOT anteriores à 1.5.0
Descrição
O comando
/math no MEGABOT contém uma vulnerabilidade de execução remota de código devido à função eval() do Python. Isso permite que um invasor injete código Python no parâmetro expression ao usar /math em qualquer canal do Discord, afetando qualquer guilda do Discord que utilize o MEGABOT.Recomendações
Para versões anteriores à 1.5.0, atualize para a versão 1.5.0 para resolver a vulnerabilidade.
Como solução temporária, considere desativar o comando
/math até que a atualização seja aplicada.Restrinja o acesso ao comando
/math para minimizar o risco de exploração.Exploit
Correção
Code Injection
Eval Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Discord
Megabot