Vulnerabilidad en Misskey (CVE-2024-32983)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/06/2024
Última modificación:
25/11/2025
Descripción
Misskey es una plataforma de microblogging descentralizada de código abierto. Misskey no realiza una normalización adecuada en las estructuras JSON de los objetos de actividad entrantes firmados de ActivityPub antes de procesarlos, lo que permite a los actores de amenazas falsificar el contenido de las actividades firmadas y hacerse pasar por los autores de las actividades originales. Esta vulnerabilidad se solucionó en 2024.5.0.
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:misskey:misskey:*:*:*:*:*:*:*:* | 2024.5.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/misskey-dev/misskey/commit/d2a5bb39e344fcb84a24ae60faafe4694b227b88
- https://github.com/misskey-dev/misskey/security/advisories/GHSA-2vxv-pv3m-3wvj
- https://github.com/misskey-dev/misskey/commit/d2a5bb39e344fcb84a24ae60faafe4694b227b88
- https://github.com/misskey-dev/misskey/security/advisories/GHSA-2vxv-pv3m-3wvj