缺乏 Activity Streams 对象的媒体类型验证,导致远程帐户被冒充和接管 (CVE-2024-25636)
CVE编号
CVE-2024-25636利用情况
暂无补丁情况
N/A披露时间
2024-02-20漏洞描述
Misskey是一个支持ActivityPub的开源分布式社交媒体平台。在版本2024.2.0之前,在获取远程Activity Streams对象时,Misskey没有检查远程服务器的响应是否具有Activity Streams媒体类型的`Content-Type`头值,这使得威胁演员可以上传精心制作的Activity Streams文档到远程服务器,并使一个Misskey实例去获取它,如果远程服务器接受任意用户上传。该漏洞允许威胁演员冒充并接管满足以下所有条件的远程服务器上的帐户:允许威胁演员注册帐户;接受任意用户上传文档并将它们放在与合法Activity Streams参与者相同的域内;并在对具有Activity Streams媒体类型的`Accept`头值的请求中返回用户上传的文档。版本2024.2.0包含了对此问题的修补程序。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-434 | 危险类型文件的不加限制上传 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论