نصائح إنتل حول تهديد الثغرات الأمنية في تنفيذ التعليمات البرمجية عن بُعد على Discord

تؤثر استشارة CloudSek لمعلومات التهديدات بشأن ثغرة Discord RCE، التي تم تحقيقها من خلال تسلسل 3 ثغرات أمنية، على تطبيق الويب.

Updated on

August 19, 2025

Published on

October 28, 2020

Read MINUTES

Subscribe to the latest industry news, threats and resources.

Table of Contents

This is also a heading
This is a heading

النوع الاستشاري

تقرير نقاط الضعف الأمنية

تطبيق

دردشة ديسكورد

قابلية التأثر

سلسلة تنفيذ التعليمات البرمجية عن بُعد (RCE)يتم استغلال ثغرة RCE الموجودة في VoIP ومنصة الدردشة Discord من خلال ربط 3 نقاط ضعف في Electron JS:

عزل السياق المفقود
البرمجة النصية عبر المواقع (XSS) في ميزة «iframe embeds» في Discord
تجاوز قيود التنقل (CVE-2020-15174)

Electron هو إطار جافا سكريبت مفتوح المصدر يستخدم لتطوير واجهة المستخدم الرسومية (GUI) لـ Discord. نظرًا لأن Discord قد عطل العزل السياقي في كود Electron الخاص به، يمكن لأي صفحة ويب JavaScript العبث بتنفيذ كود JS الداخلي الخاص بـ Electron مما يؤدي إلى هجوم RCE.[/vc_wp_text] [vc_wp_text]

استغلال الضعف

يستغل الخصم ثغرة XSS في لعبة Discordيتضمّن إطار iframe'ميزة، لتنفيذ كود JS. على سبيل المثال: 'يعرض iframe embeds تلقائيًا مشغل الفيديو على منصة Discord عندما ينشر المرء عنوان URL على YouTube. من خلال استغلال ثغرة XSS، يقوم المهاجم بتنفيذ كود JS التعسفي في المتصفح.كخطوة أخيرة في عملية التسلسل، يتم استغلال تجاوز قيود الملاحة - CVE-2020-15174 - لتحقيق RCE. نظرًا لأن Electron لا يدعم كود Java ليتم تنفيذه داخل iframe، يحتاج المهاجم إلى مغادرة iframe وتنفيذ JavaScript في سياق تصفح عالي المستوى. يتطلب ذلك فتح نافذة جديدة من iframe، أو الانتقال من النافذة العلوية إلى عنوان URL آخر من iframe. نظرًا لأن Discord قد عطل العزل السياقي لـ Electron، يتم تنفيذ كود Java بواسطة التطبيق نفسه لتحقيق RCE، مما يعرض البيئة المضيفة للمستخدم للخطر.[/vc_wp_text] [vc_wp_text]

التأثير

التأثير الفني:

يمكن للمهاجمين تنفيذ أوامر نظام التشغيل التعسفية على جهاز الضحية مما يسمح لهم باختراق المضيف تمامًا.
يتيح استخراج البيانات وخلق المثابرة للبقاء على قيد الحياة عند إعادة التشغيل الوصول عن بُعد عبر الإنترنت.
يمكن للمهاجم إساءة استخدام التفاصيل المتوفرة على الجهاز لتعزيز الهجوم ضد أهداف محتملة أخرى أو إضافة المضيف إلى شبكة بوت نت موجودة.

تأثير الأعمال:

يتأثر الأمان التنظيمي إذا كانت الضحية تستخدم VPN للاتصال بشبكة شركة بعيدة.
يضر بأمان نقطة النهاية للشركات، مما يمنح المهاجم إمكانية الوصول إلى شبكة الشركة الداخلية.

[/vc_wp_text] [vc_wp_text]

التخفيف

تم تصحيح جميع مشكلات الأمان من قبل فريق أمان Electron، ويتم توفير بعض التفاصيل أدناه:

بالنسبة للمستخدم: قم بتثبيت الإصدار المحدث من Discord
للمطورين: الاستشارات الأمنية لـ CVE-2020-15174 (https://github.com/electron/electron/security/advisories/GHSA-2q4g-w47c-4674)

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

Table of Contents

This is also a heading
This is a heading

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek

June 12, 2023

تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS

May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.

جدولة عرض تجريبي

Real time Threat Intelligence Data

More information and context about Underground Chatter

On-Demand Research Services

Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.

Trusted by 400+ Top organisations

Get started

Learn more