一、 漏洞 CVE-2020-26249 基础信息
漏洞信息
                                        # 跨站脚本(XSS)漏洞上的远程代码执行(RCE)利用

## 漏洞概述
Red Discord Bot Dashboard 是一个易于使用的交互式 Web 仪表板,用于控制 Redbot。在 Red Discord Bot 0.1.7a 之前的版本中发现了 RCE(远程代码执行)漏洞。此漏洞允许 Discord 用户通过特别设计的服务器名称和用户名/昵称注入代码到 Web 服务器前端代码中。

## 影响版本
Red Discord Bot 0.1.7a 之前的所有版本

## 漏洞细节
该漏洞允许攻击者向 Web 服务器前端代码注入恶意代码,从而执行破坏性操作或访问敏感信息。此漏洞已在 0.1.7a 版本中修复。

## 影响
攻击者可以利用该漏洞执行破坏性操作或访问敏感信息。为解决该问题,相关包的所有者必须升级(Dashboard 模块和 Dashboard Web 服务器)。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Remote Code Execution (RCE) Exploit on Cross Site Scripting (XSS) Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Red Discord Bot Dashboard is an easy-to-use interactive web dashboard to control your Redbot. In Red Discord Bot before version 0.1.7a an RCE exploit has been discovered. This exploit allows Discord users with specially crafted Server names and Usernames/Nicknames to inject code into the webserver front-end code. By abusing this exploit, it's possible to perform destructive actions and/or access sensitive information. This high severity exploit has been fixed on version 0.1.7a. There are no workarounds, bot owners must upgrade their relevant packages (Dashboard module and Dashboard webserver) in order to patch this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Red Discord Bot 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Red Discord Bot是个人开发者的一个 Python 编写的模块化机器人。该机器人软件可根据不同的模块配置完成不同的功能。 Red Discord Bot Dashboard 存在安全漏洞,该漏洞允许不匹配的用户使用特殊的服务器名和用户名昵称将代码注入到webserver前端代码中。通过滥用这种利用,可以执行破坏性操作和或访问敏感信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-26249 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2020-26249 的情报信息