CRITICAL🇬🇧 English

CVE-2026-28431

Niewystarczająca weryfikacja uprawnień w Misskey — nieautoryzowany dostęp do danych

CVSS 9.2v4.0pub. 2026-03-10upd. 2026-03-13

Misskey w wersjach od 8.45.0 do 2026.3.1 zawiera podatność umożliwiającą nieautoryzowanym aktorom dostęp do danych, do których normalnie nie mieliby uprawnień. Błąd wynika z niedostatecznej weryfikacji uprawnień oraz braku właściwej walidacji danych wejściowych i może prowadzić do poważnego wycieku danych.

Pokaż oryginał (EN)

Misskey is an open source, federated social media platform. All Misskey servers running versions 8.45.0 and later, but prior to 2026.3.1, contain a vulnerability that allows bad actors access to data that they ordinarily wouldn't be able to access due to insufficient permission checks and proper input validation. This vulnerability occurs regardless of whether federation is enabled or not. This vulnerability could lead to a significant data breach. This vulnerability is fixed in 2026.3.1.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-285 (Improper Authorization) polega na tym, że serwer Misskey nie przeprowadza wystarczających kontroli uprawnień podczas przetwarzania żądań. Atakujący może wysyłać odpowiednio spreparowane żądania sieciowe, które omijają mechanizmy autoryzacji i umożliwiają dostęp do chronionych zasobów. Podatność występuje niezależnie od tego, czy na serwerze włączona jest federacja z innymi instancjami.

Skutki

Atakujący bez żadnych uprawnień może uzyskać dostęp do danych użytkowników i innych chronionych zasobów serwera, do których normalnie nie powinien mieć dostępu. Może to skutkować poważnym naruszeniem poufności danych (significant data breach).

Mitygacja

Należy zaktualizować Misskey do wersji 2026.3.1, w której podatność została naprawiona. Patch dostępny jest w repozytorium projektu na GitHub zgodnie z security advisory GHSA-r33c-qg3g-v9cr.

Kogo dotyczy

Wszystkie serwery Misskey uruchomione w wersjach od 8.45.0 (włącznie) do wersji wcześniejszych niż 2026.3.1

Uwagi

Podatność dotyczy zarówno instancji Misskey z włączoną, jak i wyłączoną federacją. Poprawka została wydana 10 marca 2026 r. jako wersja 2026.3.1.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Misskey

    APP
    Misskey
    8.45.0 – 2026.3.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-25306CRITICAL9.3PL ✓ten sam produkt

Misskey: niewystarczająca walidacja obiektów ActivityPub (bypass patcha CVE-2024-52591)

CVE-2023-52139CRITICAL9.0PL ✓ten sam produkt

Misskey: nieprawidłowa autoryzacja API umożliwia wyciek danych i nieautoryzowane operacje

CVE-2023-49079CRITICAL9.3PL ✓ten sam produkt

Misskey: brak weryfikacji podpisu umożliwia podszywanie się pod użytkowników

CVE-2026-28432HIGH7.1ten sam produkt

Misskey is an open source, federated social media platform. All Misskey servers prior to 2026.3.1 contain a vu...

CVE-2025-66402HIGH7.1ten sam produkt

Misskey is an open source, federated social media platform. Starting in version 13.0.0-beta.16 and prior to ve...

CVE-2026-28431 — Niewystarczająca weryfikacja uprawnień w Misskey — nieautoryzowany dostęp do danych — CRITICAL 9.2 | CVEbaza.pl