CVE-2024-25636

Versões do Misskey anteriores à 2024.2.0

O Misskey é uma plataforma de mídia social de código aberto e descentralizada com suporte a ActivityPub. O problema surge ao buscar objetos Activity Streams remotos, pois o Misskey não verifica se a resposta do servidor remoto possui um valor de cabeçalho Content-Type do tipo de mídia Activity Streams. Isso permite que um agente mal-intencionado envie um documento Activity Streams manipulado para um servidor remoto e faça com que uma instância do Misskey o busque, caso o servidor remoto aceite uploads arbitrários de usuários. A vulnerabilidade permite que um agente mal-intencionado se passe por e assuma o controle de uma conta em um servidor remoto que satisfaça propriedades específicas: permite que o agente mal-intencionado registre uma conta, aceita documentos carregados arbitrariamente por usuários e os coloca no mesmo domínio que agentes legítimos do Activity Streams, e serve documentos carregados por usuários em resposta a solicitações com um valor de cabeçalho Accept do tipo de mídia do Activity Streams.

Para versões anteriores à 2024.2.0, atualize para a versão 2024.2.0 ou posterior, que contém um patch para o problema. Como solução alternativa temporária, considere restringir o acesso a objetos remotos do Activity Streams até que a atualização seja aplicada. Além disso, restrinja a capacidade dos usuários de enviar documentos arbitrários para o mesmo domínio que os atores legítimos do Activity Streams e certifique-se de que os documentos enviados pelos usuários não sejam servidos em resposta a solicitações com um valor de cabeçalho Accept de