Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en DisCatSharp (CVE-2022-24849)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
14/04/2022
Última modificación:
22/04/2022

Descripción

DisCatSharp es una envoltura de la API de Discord para .NET. Los usuarios de las versiones 9.8.5, 9.8.6, 9.9.0 y las versiones preliminares publicadas anteriormente de la 10.0.0 que han usado uno de los dos "RequireDisCatSharpDeveloperAttribute" o el "BaseDiscordClient.LibraryDeveloperTeam" han tenido potencialmente su token de bot enviado a un servidor web no afiliado a Discord. Este servidor es propiedad y está operado por el equipo de desarrollo de DisCatSharp. Los tokens no son registrados, pero es aconsejable restablecer los tokens de los bots potencialmente afectados. Ha sido publicada la versión 9.9.1 para parchear el problema en la versión estable actual y las versiones preliminares 10.0.0 ya no están afectadas. Los usuarios que no puedan actualizar deberán eliminar todos los usos de los dos "RequireDisCatSharpDeveloperAttribute" y todas las llamadas directas a "BaseDiscordClient.LibraryDeveloperTeam"

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Vector 2.0
AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:aitsys:discatsharp:*:*:*:*:*:*:*:* 9.8.5 (incluyendo) 9.9.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información