Vulnerabilidad en Misskey (CVE-2024-52590)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

18/12/2024

Última modificación:

26/11/2025

Descripción

Misskey es una plataforma de redes sociales federada de código abierto. En las versiones afectadas, la falta de validación en `ApRequestService.signedGet` permite a un atacante crear perfiles de usuario falsos que parecen ser de una instancia diferente a la que realmente existen. Estos perfiles se pueden usar para hacerse pasar por usuarios existentes de la instancia de destino. Las instancias vulnerables de Misskey aceptarán a los usuarios falsificados como válidos, lo que permite a un atacante hacerse pasar por usuarios de otra instancia. Los atacantes tienen control total del usuario falsificado y pueden publicar, volver a anotar o interactuar de otro modo como si fuera una cuenta real. Este problema se ha solucionado en la versión 2024.11.0-alpha.3. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:N/SC:L/SI:N/SA:L CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:N/SC:L/SI:N/SA:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Ninguno
Availability (SA): Bajo

Puntuación base 4.0

8.80

Gravedad 4.0

ALTA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:misskey:misskey::::::::	2024.8.0 (excluyendo)	2024.11.0 (excluyendo)
cpe:2.3:a:misskey:misskey:2024.8.0:rc3::::::
cpe:2.3:a:misskey:misskey:2024.8.0:rc4::::::
cpe:2.3:a:misskey:misskey:2024.8.0:rc5::::::
cpe:2.3:a:misskey:misskey:2024.11.0:alpha0::::::
cpe:2.3:a:misskey:misskey:2024.11.0:alpha1::::::
cpe:2.3:a:misskey:misskey:2024.11.0:alpha2::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/misskey-dev/misskey/security/advisories/GHSA-7vgr-p3vc-p4h2

CPE	Desde	Hasta
cpe:2.3:a:misskey:misskey::::::::	2024.8.0 (excluyendo)	2024.11.0 (excluyendo)
cpe:2.3:a:misskey:misskey:2024.8.0:rc3::::::
cpe:2.3:a:misskey:misskey:2024.8.0:rc4::::::
cpe:2.3:a:misskey:misskey:2024.8.0:rc5::::::
cpe:2.3:a:misskey:misskey:2024.11.0:alpha0::::::
cpe:2.3:a:misskey:misskey:2024.11.0:alpha1::::::
cpe:2.3:a:misskey:misskey:2024.11.0:alpha2::::::