Vulnerabilidad en la tabla de clasificación del módulo Trivia en Red Discord Bot (CVE-2020-15140)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
21/08/2020
Última modificación:
17/06/2026
Descripción
En Red Discord Bot versiones anteriores a versión 3.3.11, se detectó una explotación de RCE en el módulo Trivia: esta explotación permite a usuarios de Discord con nombres de usuario específicamente diseñados inyectar código en el comando de la tabla de clasificación del módulo Trivia. Al abusar de esta explotación, es posible llevar a cabo acciones destructivas y / o acceder a información confidencial. Esta explotación crítica se ha corregido en la versión 3.3.11.
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Puntuación base 2.0
5.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cogboard:red_discord_bot:*:*:*:*:*:*:*:* | 3.3.11 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Cog-Creators/Red-DiscordBot/pull/4175/commits/9ab536235bafc2b42c3c17d7ce26f1cc64482a81
- https://github.com/Cog-Creators/Red-DiscordBot/security/advisories/GHSA-55j9-849x-26h4
- https://github.com/Cog-Creators/Red-DiscordBot/pull/4175/commits/9ab536235bafc2b42c3c17d7ce26f1cc64482a81
- https://github.com/Cog-Creators/Red-DiscordBot/security/advisories/GHSA-55j9-849x-26h4



