Vulnerabilidad en el código del front-end del servidor web en Red Discord Bot (CVE-2020-26249)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
09/12/2020
Última modificación:
10/12/2020
Descripción
Red Discord Bot Dashboard es un panel web interactivo fácil de usar para controlar tu Redbot. En Red Discord Bot versiones anteriores a 0.1.7a ha sido detectado una explotación de RCE. Esta explotación permite a usuarios de Discord con nombres de Server y Usernames/Nicknames especialmente diseñados, inyectar código en el código del front-end del servidor web. Al abusar de esta explotación, es posible llevar a cabo acciones destructivas y/o acceder a información confidencial. Esta explotación de alta severidad ha sido corregida en la versión 0.1.7a. No se presentan soluciones provisionales, los propietarios de los bots deben actualizar sus paquetes relevantes (módulo de Dashboard y servidor web de Dashboard) para poder parchear este problema
Impacto
Puntuación base 3.x
8.70
Gravedad 3.x
ALTA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cogboard:red-dashboard:0.1.2:alpha0:*:*:*:*:*:* | ||
| cpe:2.3:a:cogboard:red-dashboard:0.1.3:alpha0:*:*:*:*:*:* | ||
| cpe:2.3:a:cogboard:red-dashboard:0.1.4:alpha0:*:*:*:*:*:* | ||
| cpe:2.3:a:cogboard:red-dashboard:0.1.5:alpha0:*:*:*:*:*:* | ||
| cpe:2.3:a:cogboard:red-dashboard:0.1.6:alpha0:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Cog-Creators/Red-Dashboard/commit/99d88b840674674166ce005b784ae8e31e955ab1
- https://github.com/Cog-Creators/Red-Dashboard/commit/a6b9785338003ec87fb75305e7d1cc2d40c7ab91
- https://github.com/Cog-Creators/Red-Dashboard/security/advisories/GHSA-hm45-mgqm-gjm4
- https://pypi.org/project/Red-Dashboard