Impact
URLからアップロード及びリモート添付ファイルの処理にServer-Side Request Forgeryの脆弱性が存在します。
これにより、内部ネットワーク内の非公開の情報が漏洩する可能性があります。
A Server-Side Request Forgery vulnerability exists in "Upload from URL" and remote attachment handling.
This could result in the exposure of non-public information within the internal network.
Patches
11.37.1-rei0784-5.16.0 で修正されています。
ただし、Proxyを使用している場合は別途対策する必要があります。
This has been fixed in 11.37.1-rei0784-5.16.0.
However, if you are using a proxy, you will need to take additional measures.
Workarounds
アプリケーションが実行されているホストからプライベートネットワーク等へのアクセスを、適切に制限することにより回避できる可能性があります。
This may be avoided by appropriately restricting access to private networks from the host where the application is running.
References
For more information
misskey本家で発見されたものです
This vulnerability was found in misskey's original repository.
GHSA-mqv7-gxh4-r5vf
ayuskey-nextではWorkaroundsを適切に行う必要があります。
v12-FEには影響がありません。
Ayuskey-MFEには影響がありません
Impact
URLからアップロード及びリモート添付ファイルの処理にServer-Side Request Forgeryの脆弱性が存在します。
これにより、内部ネットワーク内の非公開の情報が漏洩する可能性があります。
A Server-Side Request Forgery vulnerability exists in "Upload from URL" and remote attachment handling.
This could result in the exposure of non-public information within the internal network.
Patches
11.37.1-rei0784-5.16.0 で修正されています。
ただし、Proxyを使用している場合は別途対策する必要があります。
This has been fixed in 11.37.1-rei0784-5.16.0.
However, if you are using a proxy, you will need to take additional measures.
Workarounds
アプリケーションが実行されているホストからプライベートネットワーク等へのアクセスを、適切に制限することにより回避できる可能性があります。
This may be avoided by appropriately restricting access to private networks from the host where the application is running.
References
fix commit: 1ff20fe
GHSA-mqv7-gxh4-r5vf
For more information
misskey本家で発見されたものです
This vulnerability was found in misskey's original repository.
GHSA-mqv7-gxh4-r5vf
ayuskey-nextではWorkaroundsを適切に行う必要があります。
v12-FEには影響がありません。
Ayuskey-MFEには影響がありません