Tesaguri

**Nome do software vulnerável e versões afetadas** Versões do Misskey anteriores à 2024.5.0 **Descrição** O Misskey é uma plataforma de microblogging descentralizada e de código aberto. A plataforma não realiza a normalização adequada das estruturas JSON dos objetos de atividade ActivityPub assinados recebidos antes de processá-los. Isso permite que agentes mal-intencionados falsifiquem o conteúdo das atividades assinadas e se façam passar pelos autores das atividades originais. **Recomendações** Para versões anteriores à 2024.5.0, atualize para a versão 2024.5.0 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o processamento de objetos de atividade ActivityPub assinados recebidos até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Mastodon anteriores à 4.2.7 Versões do Mastodon anteriores à 4.1.15 Versões do Mastodon anteriores à 4.0.15 Versões do Mastodon anteriores à 3.5.19 **Descrição** O Mastodon é um servidor de rede social gratuito e de código aberto baseado no ActivityPub. Ao buscar status remotos, o Mastodon não verifica se a resposta do servidor remoto possui um valor de cabeçalho `Content-Type` do tipo de mídia Activity Streams. Isso permite que um agente mal-intencionado envie um documento Activity Streams manipulado para um servidor remoto e faça com que um servidor Mastodon o busque, caso o servidor remoto aceite uploads arbitrários de usuários. A vulnerabilidade permite que um agente mal-intencionado se passe por uma conta em um servidor remoto que satisfaça determinadas propriedades: permite que o invasor registre uma conta, aceita documentos carregados arbitrariamente por usuários e os coloca no mesmo domínio que os agentes ActivityPub, e serve documentos carregados por usuários em resposta a solicitações com um valor de cabeçalho `Accept` do tipo de mídia Activity Streams. **Recomendações** Para versões anteriores à 4.2.7, atualize para a versão 4.2.7 ou posterior. Para versões anteriores à 4.1.15, atualize para a versão 4.1.15 ou posterior. Para versões anteriores à 4.0.15, atualize para a versão 4.0.15 ou posterior. Para versões anteriores à 3.5.19, atualize para a versão 3.5.19 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Misskey anteriores à 2024.2.0 **Descrição** O Misskey é uma plataforma de mídia social de código aberto e descentralizada com suporte a ActivityPub. O problema surge ao buscar objetos Activity Streams remotos, pois o Misskey não verifica se a resposta do servidor remoto possui um valor de cabeçalho `Content-Type` do tipo de mídia Activity Streams. Isso permite que um agente mal-intencionado envie um documento Activity Streams manipulado para um servidor remoto e faça com que uma instância do Misskey o busque, caso o servidor remoto aceite uploads arbitrários de usuários. A vulnerabilidade permite que um agente mal-intencionado se passe por e assuma o controle de uma conta em um servidor remoto que satisfaça propriedades específicas: permite que o agente mal-intencionado registre uma conta, aceita documentos carregados arbitrariamente por usuários e os coloca no mesmo domínio que agentes legítimos do Activity Streams, e serve documentos carregados por usuários em resposta a solicitações com um valor de cabeçalho `Accept` do tipo de mídia do Activity Streams. **Recomendações** Para versões anteriores à 2024.2.0, atualize para a versão 2024.2.0 ou posterior, que contém um patch para o problema. Como solução alternativa temporária, considere restringir o acesso a objetos remotos do Activity Streams até que a atualização seja aplicada. Além disso, restrinja a capacidade dos usuários de enviar documentos arbitrários para o mesmo domínio que os atores legítimos do Activity Streams e certifique-se de que os documentos enviados pelos usuários não sejam servidos em resposta a solicitações com um valor de cabeçalho `Accept` de