Vulnerabilidad en Lemmy (CVE-2024-23649)

Lemmy es un agregador de enlaces y un foro para la diversidad. A partir de la versión 0.17.0 y anteriores a la versión 0.19.1, los usuarios pueden reportar mensajes privados, incluso cuando no son ni el remitente ni el destinatario del mensaje. La respuesta de la API para crear un informe de mensajes privados contiene el mensaje privado en sí, lo que significa que cualquier usuario puede simplemente iterar sobre los ID de los mensajes para obtener (en voz alta) todos los mensajes privados de una instancia. Un usuario con privilegios de administrador de instancias también puede abusar de esto si el mensaje privado se elimina de la respuesta, ya que puede ver los informes resultantes. La creación de un informe de mensaje privado mediante PUBLICACIÓN en `/api/v3/private_message/report` no valida si el informante es el destinatario del mensaje. lemmy-ui no permite que el remitente informe el mensaje; Es probable que el método API deba estar restringido al acceso únicamente a los destinatarios. La respuesta de la API al crear un informe contiene `private_message_report_view` con todos los detalles del informe, incluido el mensaje privado que se ha informado: cualquier usuario autenticado puede obtener contenidos de mensajes privados arbitrarios (no dirigidos). Los privilegios necesarios dependen de la configuración de la instancia; cuando los registros se habilitan sin sistema de aplicación, los privilegios requeridos son prácticamente nulos. Cuando se requieren solicitudes de registro, los privilegios requeridos podrían considerarse bajos, pero esta evaluación varía mucho según el caso. La versión 0.19.1 contiene un parche para este problema. Hay una solución disponible. Si no es posible actualizar inmediatamente a una versión fija de Lemmy, la ruta API se puede bloquear en el proxy inverso. Esto evitará que alguien denuncie mensajes privados, pero también evitará la explotación antes de que se haya aplicado la actualización.