Headline
CVE-2023-49095: missing signature validation allows arbitrary users to impersonate any remote user
nexkey is a microblogging platform. Insufficient validation of ActivityPub requests received in inbox could allow any user to impersonate another user in certain circumstances. This issue has been patched in version 12.122.2.
Affected versions
< 12.122.1
Patched versions
12.122.2
Description
Impact
inboxで受信したActivityPubリクエストの検証が不十分なため、特定の環境において任意のユーザーが別のユーザーになりすますことができます。この脆弱性はフォーク元で発見されたものと同一です
Patches
- v12.122.2で修正されています
- 修正コミットは b96da0e です
Workarounds
- 実際のホスト名と一致しないHOSTヘッダーを持つリクエストをフィルタリングするようにリバースプロキシを設定することで実用的な緩和が可能です。(ただし完璧ではありません)
- Cloudflareや適切に設定されたnginx、Caddyなどのリバースプロキシを使用している場合は問題ありません
- 受信した全てのリクエストをNexkeyにプロキシするよう設定していたり、外部から直接nexkeyがlistenしているポートにアクセスできるような環境では、上記のWorkaroundsを実行する必要があります。
References
advisory.silicon.moe