@VisualBasist こんにちは。Misskey本家のアドバイザリは未公開ですが、めいすきーフォークでは同じ脆弱性のアドバイザリが公開済なので、取りあえず今はそちらを読んでおくと良いかと思います：
Impersonation and takeover of remote accounts with unnormalized signed activities · Advisory · mei23/misskey
https://github.com/mei23/misskey/security/advisories/GHSA-f7g9-xhcq-5ww6