CVE-2023-52139
漏洞描述
Misskey是一个开源的去中心化社交媒体平台。第三方应用程序可能会访问某些端点或Websocket API,这些端点或API被错误地指定为种类或安全类型,而无需用户的许可就可以执行操作,例如读取或添加非公开内容。因此,如果认证应用程序的用户是管理员,机密信息如对象存储密钥和SMTP服务器密码可能会被泄露,普通用户也可能未经授权创建邀请代码并泄露非公开的用户信息。该漏洞已在版本2023.12.1中修复。
安全风险CVSS等级评估
| 基础分数 | 风险等级 | 可利用性评分 |
|---|---|---|
| 9.6 | CRITICAL | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N |
| 9.0 | CRITICAL | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
细节文章
CVSS scores for CVE-2023-52139:https://github.com/misskey-dev/misskey/commit/c96bc36fedc804dc840ea791a9355d7df0748e64
CWE ids for CVE-2023-52139:https://github.com/misskey-dev/misskey/security/advisories/GHSA-7pxq-6xx9-xpgm
© 版权声明
文章版权归原作者所有,未经允许请勿转载。
THE END
暂无评论内容