Impact

認証が不十分なため、トークン生成時に明示的に権限を付与しなくても管理人とモデレーターの発行した（もしくはMiAuth経由で生成された）APIトークンを利用した外部アプリが管理用のapiを呼び出せます。これにより、悪意のあるサードパーティアプリによるサーバー設定の更新などの操作や、オブジェクトストレージやメールサーバーのクレデンシャルの漏洩が発生します。

Patches

• Fixed on this commit

Workarounds

信頼できない外部アプリに対していかなるAPIトークンも発行しない

References

• misskeyで見つかったものと同一です。
• Referenced at fix: mei23/misskey-v12