CVE-2024-52579

Versões do Misskey anteriores à 2024.11.0-alpha.3

O Misskey é uma plataforma de mídia social federada de código aberto. Algumas APIs que utilizam HttpRequestService não verificam adequadamente o host de destino. Essa falha permite que um invasor envie solicitações POST ou GET para o servidor interno, o que pode resultar em um ataque de falsificação de solicitação do lado do servidor (SSRF). Isso permite que um invasor envie solicitações POST ou GET (com alguns parâmetros de URL controláveis) para IPs privados, possibilitando novos ataques a servidores internos.

Para versões anteriores à 2024.11.0-alpha.3, atualize para a versão 2024.11.0-alpha.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às APIs que utilizam HttpRequestService até que a atualização seja aplicada. Evite usar parâmetros de URL controláveis nos pontos de extremidade de API afetados até que o problema seja resolvido. No momento, não há soluções alternativas conhecidas para essa vulnerabilidade além da atualização para a versão corrigida.