Summary
CSRF対策の欠落と、ジョブキューのダッシュボードの認証用のCookieの不適切な設定により、bull-boardの一部のAPIにCSRF攻撃が成立する可能性があります。
Due to a lack of CSRF protection and the lack of proper security attributes in the authentication cookies of Bull's dashboard, some of the APIs of bull-board may be subject to CSRF attacks.
Impact
- bull-boardのAPIへのCSRF攻撃が可能になる可能性があります
May allow CSRF attacks on bull-board APIs
- 任意のジョブを追加できるなど、可用性や整合性に比較的大きな影響を与える攻撃に使われるリスクがあります
Risk of being used for attacks with relatively large impact on availability and integrity, such as the ability to add arbitrary jobs
Workarounds
この脆弱性は2025.2.0で修正されています。Misskeyを2025.2.0以降にアップデートすることを推奨します。
This vulneability was fixed in 2025.2.0; upgrading Misskey to 2025.2.0 or later is strongly recommended.
/queue下へのアクセスをWAF等で全て遮断する
Block all access to the /queue directory with WAF
nexryai Reporter
Summary
CSRF対策の欠落と、ジョブキューのダッシュボードの認証用のCookieの不適切な設定により、bull-boardの一部のAPIにCSRF攻撃が成立する可能性があります。
Due to a lack of CSRF protection and the lack of proper security attributes in the authentication cookies of Bull's dashboard, some of the APIs of bull-board may be subject to CSRF attacks.
Impact
May allow CSRF attacks on bull-board APIs
Risk of being used for attacks with relatively large impact on availability and integrity, such as the ability to add arbitrary jobs
Workarounds
この脆弱性は2025.2.0で修正されています。Misskeyを2025.2.0以降にアップデートすることを推奨します。
This vulneability was fixed in 2025.2.0; upgrading Misskey to 2025.2.0 or later is strongly recommended.
/queue下へのアクセスをWAF等で全て遮断するBlock all access to the
/queuedirectory with WAF