Nexryai

Nome do Software Vulnerável e Versões Afetadas: Versões do Misskey de 12.109.0 a 2025.2.0-alpha.0 Descrição: O Misskey é uma plataforma de mídia social federada e de código aberto. Devido à falta de proteção contra CSRF e à ausência de atributos de segurança adequados nos cookies de autenticação do painel do Bull, algumas das APIs do bull-board podem estar sujeitas a ataques CSRF. Existe o risco de esta vulnerabilidade ser explorada em ataques com impacto relativamente grande na disponibilidade e na integridade, como a capacidade de adicionar tarefas arbitrárias. Recomendações: Para as versões de 12.109.0 a 2025.2.0-alpha.0, atualize para a versão 2025.2.0-alpha.0 para resolver o problema. Como medida temporária, bloqueie todo o acesso ao diretório `/queue` utilizando um firewall de aplicação web (WAF).

Nome do Software Vulnerável e Versões Afetadas: Versões do Concorde anteriores a 12.25Q1.1 Descrição: O problema surge da falta de contramedidas CSRF e configurações inadequadas de cookies para autenticação do MediaProxy, permitindo que um atacante contorne a autenticação do MediaProxy. Isso permite que o atacante carregue qualquer imagem sem restrições sob certas circunstâncias. Em versões anteriores a 12.24Q2.3, a vulnerabilidade também contorna a autenticação do bull-board, potencialmente levando a impactos significativos na disponibilidade e integridade. Recomendações: Para versões anteriores a 12.25Q1.1, atualize para a versão 12.25Q1.1 para corrigir a falha de segurança. Como solução temporária, considere restringir o acesso à autenticação do MediaProxy e à página de gerenciamento da fila de tarefas (bull-board) até que a atualização seja aplicada. Não há outras soluções temporárias eficazes disponíveis além da atualização para a versão corrigida.

**Name of the Vulnerable Software and Affected Versions** nexkey versions prior to 12.122.2 **Description** The issue is related to insufficient validation of ActivityPub requests received in the inbox, which could allow any user to impersonate another user in certain circumstances. **Recommendations** For versions prior to 12.122.2, update to version 12.122.2 to resolve the issue. As a temporary workaround, consider restricting access to the inbox functionality to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Nexkey versions prior to 12.121.9 **Description** The issue is related to incomplete URL validation, which can allow users to bypass authentication and access the job queue dashboard. This is a problem in a decentralized social media platform. **Recommendations** For versions prior to 12.121.9, update to version 12.121.9 to resolve the issue. As a temporary workaround, consider blocking access to the vulnerable endpoint using tools such as Cloudflare's WAF.