CRITICAL🇬🇧 English

CVE-2023-49079

Misskey: brak weryfikacji podpisu umożliwia podszywanie się pod użytkowników

CVSS 9.3v3.1pub. 2023-11-29upd. 2024-11-21

Platforma Misskey nie weryfikuje podpisów kryptograficznych wiadomości federacyjnych, co pozwala dowolnemu użytkownikowi na podszywanie się pod dowolnego zdalnego użytkownika. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia i może prowadzić do poważnego naruszenia integralności komunikacji w sieci zdecentralizowanej.

Pokaż oryginał (EN)

Misskey is an open source, decentralized social media platform. Misskey's missing signature validation allows arbitrary users to impersonate any remote user. This issue has been patched in version 2023.11.1-beta.1.

🤖 Analiza AI
Jak działa

Misskey jako zdecentralizowana platforma społecznościowa korzysta z protokołu federacyjnego, w którym tożsamość użytkowników zdalnych powinna być weryfikowana za pomocą podpisów kryptograficznych. Z powodu braku tej weryfikacji (CWE-347 – Improper Verification of Cryptographic Signature) atakujący może wysyłać wiadomości lub aktywności podpisane w imieniu dowolnego zdalnego użytkownika bez posiadania odpowiedniego klucza prywatnego. System nie sprawdza poprawności podpisu, akceptując fałszywe żądania jako autentyczne.

Skutki

Atakujący może skutecznie podszyć się pod dowolnego zdalnego użytkownika federacyjnego, fałszując jego tożsamość i działania w sieci, co prowadzi do wysokiego naruszenia integralności danych oraz częściowego ujawnienia informacji.

Mitygacja

Należy zaktualizować Misskey do wersji 2023.11.1-beta.1 lub nowszej, w której wprowadzono prawidłową weryfikację podpisów kryptograficznych. Szczegóły dostępne w referencjach producenta (GitHub Security Advisory GHSA-3f39-6537-3cgc).

Kogo dotyczy

Misskey we wszystkich wersjach poprzedzających 2023.11.1-beta.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:N
  • Misskey

    APP
    Misskey
    < 2023.11.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-28431CRITICAL9.2PL ✓ten sam produkt

Niewystarczająca weryfikacja uprawnień w Misskey — nieautoryzowany dostęp do danych

CVE-2025-25306CRITICAL9.3PL ✓ten sam produkt

Misskey: niewystarczająca walidacja obiektów ActivityPub (bypass patcha CVE-2024-52591)

CVE-2023-52139CRITICAL9.0PL ✓ten sam produkt

Misskey: nieprawidłowa autoryzacja API umożliwia wyciek danych i nieautoryzowane operacje

CVE-2026-28432HIGH7.1ten sam produkt

Misskey is an open source, federated social media platform. All Misskey servers prior to 2026.3.1 contain a vu...

CVE-2025-66402HIGH7.1ten sam produkt

Misskey is an open source, federated social media platform. Starting in version 13.0.0-beta.16 and prior to ve...

CVE-2023-49079 — Misskey: brak weryfikacji podpisu umożliwia podszywanie się pod użytkowników — CRITICAL 9.3 | CVEbaza.pl