tesaguri/activitypub-type-confusion-poc: Proof of Concept for the type confusion vulnerability of ActivityPub implementations
https://github.com/tesaguri/activitypub-type-confusion-poc
というわけで、2024-02-17頃にMastodonやMisskeyなどで修正された脆弱性のPoCを今になってこっそりと公開するなどしていた
フォロー
原理としては単純な脆弱性なので具体的なPoC自体は大して重要でもないと思うけど、MisskeyのPoCはちょっとしたindirectionを要しているので、そこは見所といえるかも
いや、そのハックも含めてMisskey側のGHSAで既に言及されているからやはり見所はないかも