Summary
サードパーティアプリケーションはユーザーの許可なしにkindやsecureが誤って指定されている一部のエンドポイントやWebsocket APIにアクセスし、非公開のコンテンツの読み出しや追加などの操作ができる可能性があります。これによりアプリケーションを認証したユーザーが管理者の場合、オブジェクトストレージのシークレットキーやSMTPサーバーのパスワードなどの機密情報が漏洩し、一般ユーザーに関しても招待コードを無断に作成できたり非公開のユーザー情報が漏洩したりする可能性があります。
Severity
CVSS v4.0 score: 9.3 (Critical)
Vector String: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:N
CVSS v3.1 score: 9.0 (Critical)
Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
PoC
Exploit codes are available at GitHub Gist.
Timeline
| Date |
Event |
| 2023-12-01 |
@chocolate-pie discovered this vulnerability |
| 2023-12-14 |
Vulnerability report submitted to misskey using github security advisory |
| 2023-12-16 |
Received acknowledgement from @syuilo |
| 2023-12-18 |
First patch was committed to misskey-dev/misskey by @syuilo |
| 2023-12-27 |
Completely fixed this vulnerability |
| 2023-12-29 |
Security advisory released to public |
References
chocolate-pie Reporter
Summary
サードパーティアプリケーションはユーザーの許可なしにkindやsecureが誤って指定されている一部のエンドポイントやWebsocket APIにアクセスし、非公開のコンテンツの読み出しや追加などの操作ができる可能性があります。これによりアプリケーションを認証したユーザーが管理者の場合、オブジェクトストレージのシークレットキーやSMTPサーバーのパスワードなどの機密情報が漏洩し、一般ユーザーに関しても招待コードを無断に作成できたり非公開のユーザー情報が漏洩したりする可能性があります。
Severity
CVSS v4.0 score: 9.3 (Critical)
Vector String: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:N
CVSS v3.1 score: 9.0 (Critical)
Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
PoC
Exploit codes are available at GitHub Gist.
Timeline
References