Vulnerabilidad en MIT IdentiBot (CVE-2024-35237)

MIT IdentiBot es un bot de Discord de código abierto escrito en Node.js que verifica las afiliaciones de las personas con el MIT, les otorga roles en un servidor de Discord y almacena información sobre ellos en una base de datos. Una vulnerabilidad que existe antes del commit 48e3e5e7ead6777fa75d57c7711c8e55b501c24e afecta a todos los usuarios que han realizado la verificación con una instancia de MIT IdentiBot que cumple las siguientes condiciones: La instancia de IdentiBot está vinculada a una aplicación Discord "pública", es decir, usuarios distintos del registrante de acceso a la API. puede agregarlo a los servidores; *y* la instancia aún no ha sido parcheada. En las versiones afectadas, IdentiBot no verifica que un servidor esté autorizado antes de permitir a los miembros ejecutar comandos de usuario y barra diagonal en ese servidor. Como resultado, cualquier usuario puede unirse a IdentiBot en su servidor y luego usar comandos (por ejemplo, `/kerbid`) para revelar el nombre completo y otra información sobre un usuario de Discord que haya verificado su afiliación con el MIT usando IdentiBot. La última versión de MIT IdentiBot contiene un parche para esta vulnerabilidad (implementado en el commit 48e3e5e7ead6777fa75d57c7711c8e55b501c24e). No hay forma de evitar la explotación de la vulnerabilidad sin el parche. Para evitar la explotación de la vulnerabilidad, todas las instancias vulnerables de IdentiBot deben desconectarse hasta que se hayan actualizado.