Vulnerabilidad en MEGABOT (CVE-2024-43404)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
20/08/2024
Última modificación:
26/08/2024
Descripción
MEGABOT es un bot de Discord totalmente personalizado para aprender y divertirse. El comando `/math` y la funcionalidad de las versiones de MEGABOT <1.5.0 contienen una vulnerabilidad de ejecución remota de código debido a una `eval()` de Python. La vulnerabilidad permite a un atacante inyectar código Python en el parámetro `expresión` cuando se usa `/math` en cualquier canal de Discord. Esta vulnerabilidad afecta a cualquier gremio de discordia que utilice MEGABOT. Esta vulnerabilidad se solucionó en la versión 1.5.0.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:megacord:megabot:*:*:*:*:*:*:*:* | 1.5.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/NicPWNs/MEGABOT/commit/71e79e5581ea36313700385b112d863053fb7ed6
- https://github.com/NicPWNs/MEGABOT/issues/137
- https://github.com/NicPWNs/MEGABOT/pull/138
- https://github.com/NicPWNs/MEGABOT/releases/tag/v1.5.0
- https://github.com/NicPWNs/MEGABOT/security/advisories/GHSA-vhxp-4hwq-w3p2