Hidetomo Hosono on Nostr: #Mastodon が依存するRailsパッケージのひとつ、sidekiq-unique-jobsのXSS ...
#Mastodon が依存するRailsパッケージのひとつ、sidekiq-unique-jobsのXSS sidekiq-unique-jobs UI server vulnerability( GHSA-cmh9-rx85-xj38 , CVE-2024-25122)等の対応でMastodon v4.2.6・v4.1.14・v4.0.14・v3.5.18がリリースされています。
今回は攻撃概念実証(PoC)も出ているので攻撃はすぐにでも始められてしまうため、急ぎアップデートが求められます。
- v4.2.6
https://github.com/mastodon/mastodon/releases/tag/v4.2.6Published at
2024-02-14 16:21:11Event JSON
{
"id": "4b06ff2bc34aa587b014d92f38b5725997fc55ea97ad560b0d242aa0a0790104",
"pubkey": "df2e9538a51f9dc124b12b9d64abe1dc6b973f1effcd2660ba1ec7b18069f4a3",
"created_at": 1707927671,
"kind": 1,
"tags": [
[
"t",
"mastodon"
],
[
"proxy",
"https://mastodon.tokyo/users/h12o/statuses/111930747864598041",
"activitypub"
]
],
"content": "#Mastodon が依存するRailsパッケージのひとつ、sidekiq-unique-jobsのXSS sidekiq-unique-jobs UI server vulnerability( GHSA-cmh9-rx85-xj38 , CVE-2024-25122)等の対応でMastodon v4.2.6・v4.1.14・v4.0.14・v3.5.18がリリースされています。\n\n今回は攻撃概念実証(PoC)も出ているので攻撃はすぐにでも始められてしまうため、急ぎアップデートが求められます。\n\n- v4.2.6 https://github.com/mastodon/mastodon/releases/tag/v4.2.6",
"sig": "81d6fc775b426900e28f0bcad4b000fcc92ac30ad3478443b6c9909ed9f4c78a1839835359d55bdf5c06225aa3e58803c0e826a1723e44fe504e65980283d784"
}
