CVE-2024-52591

Versões do Misskey anteriores à 2024.11.0-alpha.3

O Misskey é uma plataforma de mídia social federada de código aberto. Nas versões afetadas, a falta de validação nos métodos ApRequestService.signedGet e HttpRequestService.getActivityJson permite que um invasor crie perfis de usuário falsos e notas falsificadas. Os usuários falsificados parecerão pertencer a uma instância diferente daquela em que realmente existem, e as notas falsificadas parecerão ter sido postadas por um usuário diferente. As instâncias vulneráveis do Misskey aceitarão os objetos falsificados como válidos, permitindo que um invasor se passe por outros usuários e instâncias. O invasor mantém controle total sobre o usuário/nota falsificados e pode interagir como uma conta real.

Para resolver o problema, atualize para a versão 2024.11.0-alpha.3 ou posterior. Como solução alternativa temporária, considere restringir as interações com perfis de usuário e notas não verificados até que a atualização seja aplicada. Não há soluções alternativas conhecidas para essa vulnerabilidade, portanto, a atualização para a versão corrigida é a ação recomendada.