Impact
ActivityPubを通して受け取ったユーザーやノートを表示する際に表示される送信元へインスタンスへのリンクが適切に検証されていないため、javascriptスキームを持つURLを挿入することで、クリックした際に任意のJavaScriptを実行するリンクを挿入ことができます。
The link to the instance to the sender that appears when viewing a user or note received through ActivityPub is not properly validated, so by inserting a URL with a javascript scheme, a link that executes any JavaScript when clicked can be You can insert a link that executes any JavaScript when clicked by inserting a URL with a javascript scheme.
Patches
13.5.0で修正されています。
This has been fixed in 13.5.0.
Workarounds
信頼できないインスタンスの「リモートで表示」を行わない。
Do not "view on remote" untrusted instances.
Ry0taK Analyst
Impact
ActivityPubを通して受け取ったユーザーやノートを表示する際に表示される送信元へインスタンスへのリンクが適切に検証されていないため、javascriptスキームを持つURLを挿入することで、クリックした際に任意のJavaScriptを実行するリンクを挿入ことができます。
The link to the instance to the sender that appears when viewing a user or note received through ActivityPub is not properly validated, so by inserting a URL with a javascript scheme, a link that executes any JavaScript when clicked can be You can insert a link that executes any JavaScript when clicked by inserting a URL with a javascript scheme.
Patches
13.5.0で修正されています。
This has been fixed in 13.5.0.
Workarounds
信頼できないインスタンスの「リモートで表示」を行わない。
Do not "view on remote" untrusted instances.