Vulnerabilidad en Misskey (CVE-2023-52139)

Misskey es una plataforma de redes sociales descentralizada y de código abierto. Es posible que las aplicaciones de terceros puedan acceder a algunos endpoints o API de Websocket que están especificados incorrectamente como [kind] (https://github.com/misskey-dev/misskey/blob/406b4bdbe79b5b0b68fcdcb3c4b6e419460a0258/packages/backend/src/server/api/endpoints.ts#L811) o [secure](https://github.com/misskey-dev/misskey/blob/406b4bdbe79b5b0b68fcdcb3c4b6e419460a0258/packages/backend/src/server/api/endpoints.ts#L805) sin el permiso del usuario y realizar operaciones como leer o agregar contenido no público. Como resultado, si el usuario que autenticó la aplicación es un administrador, se filtrará información confidencial como claves secretas de almacenamiento de objetos y contraseñas del servidor SMTP, y los usuarios generales también pueden crear códigos de invitación sin permiso y filtrar información de usuario no pública. Esto está parcheado en la versión [2023.12.1] (https://github.com/misskey-dev/misskey/commit/c96bc36fedc804dc840ea791a9355d7df0748e64).