Skip to content

Inadequate validation of signed values

High
mei23 published GHSA-322m-35h7-9m3j Nov 29, 2023

Package

No package listed

Affected versions

0.0.4679 - 10.102.680-m544

Patched versions

10.102.681-m544

Description

Impact

署名された値の検証が不足しているため、任意のユーザーが特定のリモートユーザーになりすますことが出来ます。
これにより偽のリモート投稿を作成される等の影響があります。

Patches

10.102.681-m544 で修正されています。

Workarounds

ApplicationにインスタンスのHost向け以外のリクエストが到達しない場合、実用的な改ざんの可能性は下がります。
リポジトリ添付のnginx configで構築している場合はこの条件に合致します。
ApplicationのListenポート (例えば3000など) を外部に公開している場合この条件の対象外になるため、Firewall等で適切に制限をする必要があります。

References

GHSA-3f39-6537-3cgc
https://advisory.silicon.moe/advisory/sif-2023-002/

Severity

High

CVE ID

CVE-2023-49079

Weaknesses

No CWEs

Credits