CVE-2026-47197
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
Quest Bot to otwartoźródłowy bot Discord, który przed wersją 1.1.6 pozwalał moderatorom z odpowiednimi uprawnieniami na moderowanie użytkowników wyżej w hierarchii ról Discord, o ile bot miał wyższą rangę niż cel. To narusza normalne zabezpieczenia hierarchii ról Discord.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane działania ze strony niżej rangowych moderatorów, którzy mogą banować lub modyfikować konta wyżej rangowych użytkowników, co może prowadzić do chaosu i utraty zaufania w społeczności.
Rekomendacja
Zaleca się aktualizację bota do wersji 1.1.6, aby usunąć tę lukę oraz przegląd uprawnień moderatorów w celu zapewnienia odpowiedniego poziomu kontroli.
Oryginalny opis (angielski, źródło NVD)
Quest Bot is an opensource Discord Bot. Prior to version 1.1.6, a moderator with the relevant Discord permission bit can use the bot to moderate users above them in the Discord role hierarchy, as long as the bot itself outranks the target. This bypasses Discord’s normal role hierarchy protections and lets lower-ranked moderators ban, kick, timeout, untimeout, warn, or rename higher-ranked users. This issue has been patched in version 1.1.6.

