Vulnerabilidad en Misskey (CVE-2024-25636)

Misskey es una plataforma de redes sociales descentralizada y de código abierto con soporte ActivityPub. Antes de la versión 2024.2.0, al recuperar objetos remotos de Activity Streams, Misskey no verifica que la respuesta del servidor remoto tenga un valor de encabezado `Content-Type` del tipo de medio Activity Streams, lo que permite a un actor de amenazas cargar un documento de Activity Streams elaborado a un servidor remoto y hacer que una instancia de Misskey lo recupere, si el servidor remoto acepta cargas arbitrarias de usuarios. La vulnerabilidad permite que un actor de amenazas se haga pasar por una cuenta y se haga cargo de ella en un servidor remoto que cumple con todas las siguientes propiedades: permite al actor de amenazas registrar una cuenta; acepta documentos arbitrarios subidos por usuarios y los coloca en el mismo dominio que los actores legítimos de Activity Streams; y proporciona documentos subidos por el usuario en respuesta a solicitudes con un valor de encabezado "Aceptar" del tipo de medio Activity Streams. La versión 2024.2.0 contiene un parche para el problema.