I deeply regret to disclose the patch by myself before the upstream releases a fix, but I'm doing this because the upstream appears so busy that they have not responded to my report for more than 7 days after the submission.
I'm disclosing the patch in the hope that it will help to protect the users of Misskey rather than to risk them, in light of the recent disclosure of the issue by the fork (but make sure to review the disclaimer in the UNLICENSE file).
2024年4月29日から30日にかけてIceshrimpおよびめいすきーで修正されたMisskeyのセキュリティ上の問題を本家においても修正することを目的としたパッチを公開します。公開の経緯およびパッチの詳細については引用元の投稿とそのリンク先のREADMEを参照してください。
QT: https://fedibird.com/@tesaguri/112355977374946818 [参照]