Vulnerabilidad en Nexkey (CVE-2023-52077)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/12/2023
Última modificación:
04/01/2024
Descripción
Nexkey es una bifurcación liviana de Misskey v12 optimizada para servidores de tamaño pequeño y mediano. Antes de 12.23Q4.5, Nexkey permitía que aplicaciones externas que utilizaran tokens emitidos por administradores y moderadores llamaran a las API de administración. Esto permite que aplicaciones maliciosas de terceros realicen operaciones como actualizar la configuración del servidor, así como comprometer el almacenamiento de objetos y las credenciales del servidor de correo electrónico. Este problema se solucionó en 12.23Q4.5.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nexryai:nexkey:*:*:*:*:*:node.js:*:* | 12.23q4.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/mei23/misskey-v12/commit/78173e376f14fcc1987b02196f5538bf5b18225c
- https://github.com/misskey-dev/misskey/commit/5150053275594278e9eb23e72d98b16593c4c230
- https://github.com/nexryai/nexkey/commit/a4e4c9c47c5f84ec7ccd309bde59d4ae5d7e5a98
- https://github.com/nexryai/nexkey/security/advisories/GHSA-pjj7-7hcj-9cpc