CVE-2026-47173
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
Quest Bot to nowoczesny bot Discord, który przed wersją 1.0.3 pozwalał normalnym użytkownikom na tworzenie zgłoszeń z powodami zawierającymi wzmianki @everyone, @here, wzmianki użytkowników lub ról. W momencie tworzenia zgłoszenia, bot publikował kontrolowany przez atakującego powód w nowym kanale zgłoszeń, nie tłumiąc wzmianków.
Ocena ryzyka
Atakujący mógł wykorzystać tę podatność do pingowania personelu lub wszystkich użytkowników mających dostęp do kanału zgłoszeń, co może prowadzić do nieautoryzowanego powiadamiania i zakłócania pracy zespołu.
Rekomendacja
Zaleca się aktualizację bota do wersji 1.0.3 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
Quest Bot is an opensource modern Discord Bot built for moderation, utilities and support. Prior to version 1.0.3, a normal user can create a ticket with a reason containing @everyone, @here, user mentions, or role mentions. When the ticket is created, the bot posts the attacker-controlled reason into the new ticket channel without suppressing mentions. If the bot has permission to use those mentions, the attacker can make the bot ping staff or everyone with access to the ticket channel. This issue has been patched in version 1.0.3.

