**tateisu🔧** @tateisu@fedibird.com · 2023-07-06T21:18:55Z

tateisu🔧 @tateisu@fedibird.com

Mastodon セキュリティアップデート 2023/7/6

修正された脆弱性

CVE-2023-36460
攻撃者が慎重に作成したメディアファイルを使用すると、Mastodon のメディア処理コードが任意の場所に任意のファイルを作成する可能性があります。

CVE-2023-36459

慎重に作成された oEmbed データを使用する攻撃者は、Mastodon によって実行される HTML サニタイズをバイパスし、oEmbed プレビューカードに任意の HTML を含めることができます。

うーん、悪用データの有無を後から確認できると良いのだけど…

2023年07月06日 21:18 · · Web · · ·

**tateisu🔧** @tateisu@fedibird.com · 2023年07月06日 21:23

**tateisu🔧** @tateisu@fedibird.com · 2023年07月06日 21:23

tateisu🔧 @tateisu@fedibird.com

あとリバースプロクシの設定変更(assetsのContent-Security-Policy変更)が推奨されてる