CVE-2024-45307

SudoBot, a Discord moderation bot, is vulnerable to privilege escalation and exploit of the `-config` command in versions prior to 9.26.7. Anyone is theoretically able to update any configuration of the bot and potentially gain control over the bot's settings. Every version of v9 before v9.26.7 is affected. Other versions (e.g. v8) are not affected. Users should upgrade to version 9.26.7 to receive a patch. A workaround would be to create a command permission overwrite in the Database. A SQL statement provided in the GitHub Security Advisor can be executed to create a overwrite that disallows users without `ManageGuild` permission to run the `-config` command. Run the SQL statement for every server the bot is in, and replace `<guild_id>` with the appropriate Guild ID each time.
Configurations

Configuration 1 (hide)

cpe:2.3:a:onesoftnet:sudobot:*:*:*:*:*:*:*:*

History

07 Sep 2024, 01:34

Type Values Removed Values Added
CPE cpe:2.3:a:onesoftnet:sudobot:*:*:*:*:*:*:*:*
CVSS v2 : unknown
v3 : 8.8
v2 : unknown
v3 : 9.8
First Time Onesoftnet
Onesoftnet sudobot
References () https://github.com/onesoft-sudo/sudobot/commit/ef46ca98562f3c1abef4ff7dd94d8f7b8155ee50 - () https://github.com/onesoft-sudo/sudobot/commit/ef46ca98562f3c1abef4ff7dd94d8f7b8155ee50 - Patch
References () https://github.com/onesoft-sudo/sudobot/security/advisories/GHSA-crgg-w3rr-r9h4 - () https://github.com/onesoft-sudo/sudobot/security/advisories/GHSA-crgg-w3rr-r9h4 - Mitigation, Vendor Advisory
Summary
  • (es) SudoBot, un bot de moderación de Discord, es vulnerable a la escalada de privilegios y al exploit del comando `-config` en versiones anteriores a la 9.26.7. En teoría, cualquiera puede actualizar cualquier configuración del bot y potencialmente obtener control sobre las configuraciones del bot. Todas las versiones de v9 anteriores a la v9.26.7 están afectadas. Otras versiones (por ejemplo, v8) no están afectadas. Los usuarios deben actualizar a la versión 9.26.7 para recibir un parche. Un workaround sería crear una sobrescritura de permiso de comando en la base de datos. Se puede ejecutar una declaración SQL provista en el Asesor de seguridad de GitHub para crear una sobrescritura que no permita a los usuarios sin permiso `ManageGuild` ejecutar el comando `-config`. Ejecute la declaración SQL para cada servidor en el que esté el bot y reemplace `` con el ID de gremio apropiado cada vez.

03 Sep 2024, 19:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-03 19:15

Updated : 2024-09-07 01:34


NVD link : CVE-2024-45307

Mitre link : CVE-2024-45307

CVE.ORG link : CVE-2024-45307


JSON object : View

Products Affected

onesoftnet

  • sudobot
CWE
CWE-862

Missing Authorization

CWE-285

Improper Authorization