Misskey w wersjach od 8.45.0 do 2026.3.1 zawiera podatność umożliwiającą nieautoryzowanym aktorom dostęp do danych, do których normalnie nie mieliby uprawnień. Błąd wynika z niedostatecznej weryfikacji uprawnień oraz braku właściwej walidacji danych wejściowych i może prowadzić do poważnego wycieku danych.
▸ Pokaż oryginał (EN)
Misskey is an open source, federated social media platform. All Misskey servers running versions 8.45.0 and later, but prior to 2026.3.1, contain a vulnerability that allows bad actors access to data that they ordinarily wouldn't be able to access due to insufficient permission checks and proper input validation. This vulnerability occurs regardless of whether federation is enabled or not. This vulnerability could lead to a significant data breach. This vulnerability is fixed in 2026.3.1.
Podatność sklasyfikowana jako CWE-285 (Improper Authorization) polega na tym, że serwer Misskey nie przeprowadza wystarczających kontroli uprawnień podczas przetwarzania żądań. Atakujący może wysyłać odpowiednio spreparowane żądania sieciowe, które omijają mechanizmy autoryzacji i umożliwiają dostęp do chronionych zasobów. Podatność występuje niezależnie od tego, czy na serwerze włączona jest federacja z innymi instancjami.
Atakujący bez żadnych uprawnień może uzyskać dostęp do danych użytkowników i innych chronionych zasobów serwera, do których normalnie nie powinien mieć dostępu. Może to skutkować poważnym naruszeniem poufności danych (significant data breach).
Należy zaktualizować Misskey do wersji 2026.3.1, w której podatność została naprawiona. Patch dostępny jest w repozytorium projektu na GitHub zgodnie z security advisory GHSA-r33c-qg3g-v9cr.
Wszystkie serwery Misskey uruchomione w wersjach od 8.45.0 (włącznie) do wersji wcześniejszych niż 2026.3.1
Podatność dotyczy zarówno instancji Misskey z włączoną, jak i wyłączoną federacją. Poprawka została wydana 10 marca 2026 r. jako wersja 2026.3.1.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMisskey
APPMisskey8.45.0 – 2026.3.1 (bez)
Powiązane podatności
Misskey: niewystarczająca walidacja obiektów ActivityPub (bypass patcha CVE-2024-52591)
Misskey: nieprawidłowa autoryzacja API umożliwia wyciek danych i nieautoryzowane operacje
Misskey: brak weryfikacji podpisu umożliwia podszywanie się pod użytkowników
Misskey is an open source, federated social media platform. All Misskey servers prior to 2026.3.1 contain a vu...
Misskey is an open source, federated social media platform. Starting in version 13.0.0-beta.16 and prior to ve...