Impact
Misskey Webクライアント組み込みのダイアログを使用し、悪意のある文字列を表示させることでXSSが成立します。
XSSが行われることで、APIリクエスト用のトークンが奪取される危険性があります。
Misskey バージョン 12.51.0 未満を使用するすべてのユーザーが影響を受けます。
XSS is established by using the Misskey web client built-in dialog to display a malicious string.
There is a risk that the token for the API request will be taken by XSS.
All users using Misskey versions less than 12.51.0 are affected.
Patches
12.51.0で修正されています。
This has been fixed in 12.51.0.
Workarounds
有効な回避策はありません。アップデートをお願いします。
There is no effective workaround. Please update.
References
Fix commit
ec203f7
For more information
If you have any questions or comments about this advisory:
Impact
Misskey Webクライアント組み込みのダイアログを使用し、悪意のある文字列を表示させることでXSSが成立します。
XSSが行われることで、APIリクエスト用のトークンが奪取される危険性があります。
Misskey バージョン 12.51.0 未満を使用するすべてのユーザーが影響を受けます。
XSS is established by using the Misskey web client built-in dialog to display a malicious string.
There is a risk that the token for the API request will be taken by XSS.
All users using Misskey versions less than 12.51.0 are affected.
Patches
12.51.0で修正されています。
This has been fixed in 12.51.0.
Workarounds
有効な回避策はありません。アップデートをお願いします。
There is no effective workaround. Please update.
References
Fix commit
ec203f7
For more information
If you have any questions or comments about this advisory: