CRITICAL🇬🇧 English

CVE-2023-52139

Misskey: nieprawidłowa autoryzacja API umożliwia wyciek danych i nieautoryzowane operacje

CVSS 9.0v3.1pub. 2023-12-29upd. 2024-11-21

Platforma społecznościowa Misskey nieprawidłowo określa poziomy dostępu dla niektórych endpointów API oraz interfejsów Websocket, co pozwala aplikacjom trzecich stron na dostęp do chronionych zasobów bez zgody użytkownika. W przypadku konta administratora podatność prowadzi do wycieku krytycznych danych konfiguracyjnych, takich jak klucze dostępu do object storage czy hasła serwera SMTP.

Pokaż oryginał (EN)

Misskey is an open source, decentralized social media platform. Third-party applications may be able to access some endpoints or Websocket APIs that are incorrectly specified as [kind](https://github.com/misskey-dev/misskey/blob/406b4bdbe79b5b0b68fcdcb3c4b6e419460a0258/packages/backend/src/server/api/endpoints.ts#L811) or [secure](https://github.com/misskey-dev/misskey/blob/406b4bdbe79b5b0b68fcdcb3c4b6e419460a0258/packages/backend/src/server/api/endpoints.ts#L805) without the user's permission and perform operations such as reading or adding non-public content. As a result, if the user who authenticated the application is an administrator, confidential information such as object storage secret keys and SMTP server passwords will be leaked, and general users can also create invitation codes without permission and leak non-public user information. This is patched in version [2023.12.1](https://github.com/misskey-dev/misskey/commit/c96bc36fedc804dc840ea791a9355d7df0748e64).

🤖 Analiza AI
Jak działa

Niektóre endpointy API oraz Websocket API zostały nieprawidłowo oznaczone jako wymagające uprawnień typu 'kind' lub 'secure', co w praktyce nie egzekwuje właściwej weryfikacji autoryzacji wobec aplikacji zewnętrznych. Aplikacja trzeciej strony, uwierzytelniona przez użytkownika, może wywołać te endpointy i wykonać operacje wykraczające poza zakres udzielonych przez użytkownika uprawnień. W zależności od roli zalogowanego użytkownika aplikacja może odczytywać lub tworzyć niepubliczne treści, generować kody zaproszeń oraz uzyskiwać dostęp do poufnych danych konfiguracyjnych systemu.

Skutki

Atakujący może uzyskać dostęp do poufnych informacji konfiguracyjnych (klucze secret object storage, hasła SMTP) w przypadku konta administratora, a w przypadku zwykłych użytkowników — odczytywać niepubliczne informacje o innych użytkownikach oraz tworzyć kody zaproszeń bez stosownych uprawnień.

Mitygacja

Należy zaktualizować Misskey do wersji 2023.12.1, w której podatność została załatana (commit c96bc36fedc804dc840ea791a9355d7df0748e64). Dodatkowo zaleca się zmianę haseł i kluczy dostępu do usług zewnętrznych (object storage, SMTP) na instancjach, które mogły być narażone.

Kogo dotyczy

Misskey — wersje poprzedzające 2023.12.1

Uwagi

Podatność wymaga interakcji użytkownika (UI:R) — użytkownik musi wcześniej uwierzytelnić złośliwą aplikację trzeciej strony, aby mogła ona nadużyć błędnie skonfigurowanych endpointów.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Misskey

    APP
    Misskey
    < 2023.12.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-28431CRITICAL9.2PL ✓ten sam produkt

Niewystarczająca weryfikacja uprawnień w Misskey — nieautoryzowany dostęp do danych

CVE-2025-25306CRITICAL9.3PL ✓ten sam produkt

Misskey: niewystarczająca walidacja obiektów ActivityPub (bypass patcha CVE-2024-52591)

CVE-2023-49079CRITICAL9.3PL ✓ten sam produkt

Misskey: brak weryfikacji podpisu umożliwia podszywanie się pod użytkowników

CVE-2026-28432HIGH7.1ten sam produkt

Misskey is an open source, federated social media platform. All Misskey servers prior to 2026.3.1 contain a vu...

CVE-2025-66402HIGH7.1ten sam produkt

Misskey is an open source, federated social media platform. Starting in version 13.0.0-beta.16 and prior to ve...