CVE-2024-52593

Versões do Misskey anteriores à 2024.11.0-alpha.3

O Misskey é uma plataforma de mídia social federada de código aberto. Nas versões afetadas, a falta de validação em NoteCreateService.insertNote, ApPersonService.createPerson e ApPersonService.updatePerson permite que um invasor controle o destino de quaisquer links de “origem”, como o banner “visualizar na instância remota”. Qualquer URL HTTPS pode ser definida, mesmo que pertença a um domínio diferente da nota ou do usuário. Instâncias vulneráveis do Misskey usarão a URL não verificada para vários links clicáveis, permitindo que um invasor realize ataques de phishing ou outros tipos de ataques contra usuários remotos.

Para versões anteriores à 2024.11.0-alpha.3, atualize para a versão 2024.11.0-alpha.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar as funções NoteCreateService.insertNote, ApPersonService.createPerson e ApPersonService.updatePerson até que um patch esteja disponível. Restrinja o acesso a URLs não verificadas para minimizar o risco de exploração. Evite usar URLs não verificadas em links clicáveis até que o problema seja resolvido.