Vulnerabilidad en el módulo Mod en Red Discord Bot (CVE-2020-15278)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

28/10/2020

Última modificación:

03/11/2020

Descripción

Red Discord Bot versiones anteriores a 3.4.1, presenta una explotación de escalada de privilegios no autorizada en el módulo Mod. Esta explotación permite a usuarios de Discord con un alto nivel de privilegios dentro del gremio omitir una comprobación de jerarquía cuando la aplicación está en una condición específica que se encuentra fuera del control de ese usuario. Al abusar de esta explotación, es posible llevar a cabo acciones destructivas dentro del gremio en el que el usuario presenta altos privilegios. Esta explotación ha sido corregida en la versión 3.4.1. Como solución alternativa, descargar el módulo Mod con unload mod o, desactivar el comando massban con el comando disable global massban puede hacer que esta explotación no sea accesible. Seguimos recomendando encarecidamente actualizar a versión 3.4.1 para parchear completamente este problema

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:S/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.00 MEDIA
Vector: AV:N/AC:M/Au:S/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico