Impact

URLの検証が不完全なためジョブキューのダッシュボードへのアクセスの認証が回避可能です。これにより

• ユーザー間のダイレクトメッセージやフォロワー限定投稿の内容が漏洩する可能性がある
• 攻撃者が失敗したジョブを大量に再試行することでサーバーを過負荷状態にできる可能性がある

のような問題が発生します。

Patches

v12.121.9で修正

Workarounds

CloudflareのWAFなどで/queue下へのアクセスをブロックすることで回避可能な可能性があります

References

Misskeyで発見されたものと同一