PT-2024-35387 · Misskey · Misskey
Warriordog
·
Publicado
2024-12-18
·
Atualizado
2025-11-26
·
CVE-2024-52590
CVSS v4.0
8.8
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:N/SC:L/SI:N/SA:L |
Nome do software vulnerável e versões afetadas
Versões do Misskey anteriores à 2024.11.0-alpha.3
Descrição
O problema diz respeito à falta de validação em
ApRequestService.signedGet, permitindo que um invasor crie perfis de usuário falsos que parecem ser de uma instância diferente. Esses perfis podem ser usados para se passar por usuários existentes, dando aos invasores controle total para publicar, reenviar ou interagir como uma conta real.Recomendações
Para versões anteriores à 2024.11.0-alpha.3, atualize para a versão 2024.11.0-alpha.3 ou posterior para resolver o problema. Como solução temporária, considere restringir as interações com perfis de usuário não verificados ou suspeitos até que a atualização possa ser aplicada.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Misskey