Vulnerabilidad en Misskey (CVE-2024-49363)

Misskey es una plataforma de redes sociales federada de código abierto. En las versiones afectadas, FileServerService (proxy multimedia) en github.com/misskey-dev/misskey 2024.10.1 o anteriores no detectó bucles de proxy, lo que permite a los actores remotos ejecutar una denegación de servicio distribuida reflejada/amplificada que se propaga por sí sola a través de una nota manipulada con fines malintencionados. FileServerService.prototype.proxyHandler no verificó que las solicitudes entrantes no provengan de otro servidor proxy. Un atacante puede ejecutar una denegación de servicio amplificada enviando una solicitud de proxy anidada al servidor y finalizar la solicitud con una redirección maliciosa a otra solicitud de proxy anidada. Esto genera una recursión ilimitada hasta que se agota el tiempo de espera de la solicitud original. Este problema se ha solucionado en la versión 2024.11.0-alpha.3. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden configurar el proxy inverso para bloquear las solicitudes al proxy con un encabezado User-Agent vacío o uno que contenga Misskey/. Un atacante no puede modificar eficazmente el encabezado User-Agent sin realizar otra solicitud al servidor.