CVE-2026-47175
NiskieCVSS 2.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Quest Bot to nowoczesny bot Discord stworzony do moderacji, narzędzi i wsparcia. W wersjach przed 1.0.4, kilka komend moderacyjnych wyświetlało tekst powodów kontrolowanych przez użytkownika w publicznych odpowiedziach bota, nie wyłączając analizy wzmiankowania.
Ocena ryzyka
Moderatorzy bez uprawnień do wzmiankowania wszystkich mogą wykorzystać tę lukę, aby bot wysyłał wiadomości @everyone lub @here, jeśli bot ma takie uprawnienia. Może to prowadzić do nieautoryzowanego powiadamiania użytkowników.
Rekomendacja
Zaleca się aktualizację bota do wersji 1.0.4 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Quest Bot is an opensource modern Discord Bot built for moderation, utilities and support. Prior to version 1.0.4, several moderation commands echo user-controlled reason text in public bot replies without disabling mention parsing. A moderator who does not have permission to mention everyone can still make the bot send @everyone or @here if the bot has that permission. This issue has been patched in version 1.0.4.

