CVE-2024-49363

Misskey versões 2024.10.1 ou anteriores

O Misskey é uma plataforma de mídia social federada de código aberto. Nas versões afetadas, o FileServerService (proxy de mídia) não detectava loops de proxy, permitindo que agentes remotos executassem um ataque de negação de serviço distribuído (DDoS) refletido/amplificado e auto-propagável por meio de uma nota criada de forma maliciosa. O FileServerService.prototype.proxyHandler não verificava se as solicitações recebidas provinham de outro servidor proxy. Um invasor pode executar um ataque de negação de serviço amplificado enviando uma solicitação de proxy aninhada ao servidor e encerrando a solicitação com um redirecionamento malicioso de volta para outra solicitação de proxy aninhada, levando a uma recursão ilimitada até que a solicitação original expire.

Para as versões 2024.10.1 ou anteriores do Misskey, atualize para a versão 2024.11.0-alpha.3 ou posterior.

Como solução alternativa temporária para usuários que não possam atualizar, configure o proxy reverso para bloquear solicitações ao proxy com um cabeçalho User-Agent vazio ou que contenha Misskey/.

Restrinja o acesso à função FileServerService.prototype.proxyHandler para minimizar o risco de exploração.