Rinsuki

**Nome do software vulnerável e versões afetadas** Versões do Misskey anteriores à 12.90.0 **Descrição** Existe uma vulnerabilidade de falsificação de solicitação do lado do servidor (Server-Side Request Forgery) nos recursos “Upload from URL” e de gerenciamento de anexos remotos do Misskey, podendo levar à divulgação de informações não públicas dentro da rede interna. Essa vulnerabilidade pode ser mitigada restringindo o acesso a redes privadas a partir do host onde o aplicativo está em execução. **Recomendações** Para versões anteriores à 12.90.0, atualize para a versão 12.90.0 para resolver a vulnerabilidade. Se um proxy estiver em uso, serão necessárias medidas adicionais. Como solução temporária, considere restringir o acesso a redes privadas a partir do host onde o aplicativo está em execução para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Misskey anteriores à 12.51.0 **Descrição** O Misskey é uma plataforma descentralizada de microblogging. Nas versões anteriores à 12.51.0, agentes mal-intencionados podem usar a caixa de diálogo integrada do cliente web para exibir uma sequência de caracteres maliciosa, levando a um ataque de script entre sites (XSS). O XSS pode comprometer o token de solicitação da API. **Recomendações** Para versões anteriores à 12.51.0, atualize para a versão 12.51.0 para resolver o problema. Como solução temporária, considere restringir o acesso à caixa de diálogo integrada do cliente web até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas: Versões do xmlhttprequest anteriores à 1.7.0 Todas as versões do xmlhttprequest-ssl Descrição: O problema ocorre quando as solicitações são enviadas de forma síncrona, com `async=False` em `xhr.open`. Se uma entrada maliciosa do usuário for inserida em `xhr.send`, isso pode resultar na injeção e execução de código arbitrário. Recomendações: Para versões do xmlhttprequest anteriores à 1.7.0, atualize para a versão 1.7.0 ou posterior. Para todas as versões do xmlhttprequest-ssl, considere desativar a função `xhr.send` até que um patch esteja disponível e restrinja o acesso ao método `xhr.open` com `async=False` para minimizar o risco de exploração.