Security
Headlines
HeadlinesLatestCVEs

Headline

CVE-2023-49095: missing signature validation allows arbitrary users to impersonate any remote user

nexkey is a microblogging platform. Insufficient validation of ActivityPub requests received in inbox could allow any user to impersonate another user in certain circumstances. This issue has been patched in version 12.122.2.

CVE
#nginx

Affected versions

< 12.122.1

Patched versions

12.122.2

Description

Impact

inboxで受信したActivityPubリクエストの検証が不十分なため、特定の環境において任意のユーザーが別のユーザーになりすますことができます。この脆弱性はフォーク元で発見されたものと同一です

Patches

  • v12.122.2で修正されています
  • 修正コミットは b96da0e です

Workarounds

  • 実際のホスト名と一致しないHOSTヘッダーを持つリクエストをフィルタリングするようにリバースプロキシを設定することで実用的な緩和が可能です。(ただし完璧ではありません)
    • Cloudflareや適切に設定されたnginx、Caddyなどのリバースプロキシを使用している場合は問題ありません
    • 受信した全てのリクエストをNexkeyにプロキシするよう設定していたり、外部から直接nexkeyがlistenしているポートにアクセスできるような環境では、上記のWorkaroundsを実行する必要があります。

References

advisory.silicon.moe

CVE: Latest News

CVE-2023-50976: Transactions API Authorization by oleiman · Pull Request #14969 · redpanda-data/redpanda
CVE-2023-6905
CVE-2023-6903
CVE-2023-6904
CVE-2023-3907