CVE-2024-23649

Versões do Lemmy de 0.17.0 a 0.19.0

A vulnerabilidade permite que qualquer usuário autenticado obtenha o conteúdo de mensagens privadas arbitrárias ao criar um relatório de mensagem privada. Isso é possível porque a resposta da API à criação de um relatório de mensagem privada contém a própria mensagem privada, e a validação do autor do relatório não é verificada adequadamente. O endpoint da API /api/v3/private message/report não valida se o autor da denúncia é o destinatário da mensagem, permitindo que qualquer usuário denuncie mensagens privadas e obtenha seu conteúdo. Isso pode ser explorado iterando sobre os IDs das mensagens para obter todas as mensagens privadas de uma instância. Os privilégios necessários para explorar essa vulnerabilidade dependem da configuração da instância, sendo que praticamente nenhum privilégio é necessário quando os registros estão habilitados sem um sistema de aplicativos.

Para as versões 0.17.0 a 0.19.0 do Lemmy, atualize para a versão 0.19.1 ou posterior para corrigir a vulnerabilidade.

Como solução temporária, considere bloquear a rota da API /api/v3/private message/report no proxy reverso para impedir a exploração antes que a atualização seja aplicada. Isso pode ser feito configurando o proxy reverso para retornar um erro 403 para solicitações a este endpoint, conforme mostrado no exemplo de configuração do nginx:

location = /api/v3/private message/report {

 default type application/json;

 return 403 ‘{“error”:“couldnt create report”}’;

}