MIT IdentiBot 用户-Kerberos 映射已公开 (CVE-2024-35237)
CVE编号
CVE-2024-35237利用情况
暂无补丁情况
N/A披露时间
2024-05-28漏洞描述
MIT IdentiBot是一个用Node.js编写的开源Discord机器人,用于验证个人与MIT的隶属关系,在Discord服务器中为他们授予角色,并将有关他们的信息存储在后端数据库中。在提交48e3e5e7ead6777fa75d57c7711c8e55b501c24e之前存在的一个漏洞影响所有使用符合以下条件的MIT IdentiBot实例进行验证的用户:IdentiBot实例与“公共”Discord应用程序绑定,即除API访问者之外的用户可以将其添加到服务器;并且该实例尚未打补丁。在受影响的版本中,IdentiBot在允许成员在该服务器中执行斜杠和用户命令之前不检查服务器是否受到授权。因此,任何用户都可以将IdentiBot加入其服务器,然后使用命令(例如“/kerbid”)来揭示已使用IdentiBot验证其与MIT隶属关系的Discord用户的全名和其他信息。最新版本的MIT IdentiBot包含了针对此漏洞的补丁(在提交48e3e5e7ead6777fa75d57c7711c8e55b501c24e中实施)。没有办法在没有补丁的情况下防止利用该漏洞。为防止利用漏洞,所有受影响的IdentiBot实例应在更新之前下线。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/ZelnickB/mit-identibot/commit/48e3e5e7ead6777fa75d57c7711c... | |
| https://github.com/ZelnickB/mit-identibot/security/advisories/GHSA-h8r9-7r8x-78v6 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论