CVE-2026-47169
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 - wyżej niż 11% wszystkich znanych CVE
Streszczenie
Quest Bot to nowoczesny bot Discord, który przed wersją 1.0.3 miał lukę umożliwiającą użytkownikom z uprawnieniami Manage Server / ManageGuild przypisanie dowolnej roli nowym członkom. Jeśli wybrana rola miała uprawnienia Administratora i była niższa od najwyższej roli bota, atakujący mógł uzyskać pełne uprawnienia administratora serwera.
Ocena ryzyka
Organizacja może być narażona na przejęcie kontroli nad serwerem Discord przez nieautoryzowanych użytkowników, co prowadzi do potencjalnych nadużyć i utraty danych.
Rekomendacja
Zaleca się aktualizację bota do wersji 1.0.3 lub nowszej oraz przeglądanie i ograniczenie uprawnień użytkowników, aby zapobiec podobnym atakom.
Oryginalny opis (angielski, źródło NVD)
Quest Bot is an opensource modern Discord Bot built for moderation, utilities and support. Prior to version 1.0.3, a user with Manage Server / ManageGuild, but without Manage Roles or Administrator, can configure the bot’s AutoRole feature to assign an arbitrary role to new members. If the selected role has Administrator and is below the bot’s highest role, the attacker can join with a controlled account and receive full server admin. This issue has been patched in version 1.0.3.

