Eternal-Flame-Ad

#16129de 53,638
16.7CVSS total
Vulnerabilidades · 2
Alta
1
Crítica
1
PT-2025-10614
9.3
2025-03-10
Misskey · Misskey · CVE-2025-25306
**Nome do Software Vulnerável e Versões Afetadas** Versões do Misskey anteriores a 2025.2.1 **Descrição** O problema refere-se à validação da relação entre os campos `id` e `url` dos objetos ActivityPub. Um atacante pode forjar um objeto no qual reivindica autoridade no campo `url`, mesmo que o tipo específico de objeto ActivityPub exija autoridade no campo `id`. **Recomendações** Para versões anteriores a 2025.2.1, atualize para a versão 2025.2.1 para resolver o problema. Como solução temporária, considere restringir o uso de objetos ActivityPub que exigem autoridade no campo `id` até que o patch seja aplicado. Evite usar o campo `url` em objetos ActivityPub para reivindicar autoridade se o tipo de objeto exigir autoridade no campo `id`.
PT-2024-33487
7.4
2024-12-18
Misskey · Misskey · CVE-2024-49363
**Nome do software vulnerável e versões afetadas** Misskey versões 2024.10.1 ou anteriores **Descrição** O Misskey é uma plataforma de mídia social federada de código aberto. Nas versões afetadas, o FileServerService (proxy de mídia) não detectava loops de proxy, permitindo que agentes remotos executassem um ataque de negação de serviço distribuído (DDoS) refletido/amplificado e auto-propagável por meio de uma nota criada de forma maliciosa. O `FileServerService.prototype.proxyHandler` não verificava se as solicitações recebidas provinham de outro servidor proxy. Um invasor pode executar um ataque de negação de serviço amplificado enviando uma solicitação de proxy aninhada ao servidor e encerrando a solicitação com um redirecionamento malicioso de volta para outra solicitação de proxy aninhada, levando a uma recursão ilimitada até que a solicitação original expire. **Recomendações** Para as versões 2024.10.1 ou anteriores do Misskey, atualize para a versão 2024.11.0-alpha.3 ou posterior. Como solução alternativa temporária para usuários que não possam atualizar, configure o proxy reverso para bloquear solicitações ao proxy com um cabeçalho `User-Agent` vazio ou que contenha `Misskey/`. Restrinja o acesso à função `FileServerService.prototype.proxyHandler` para minimizar o risco de exploração.