missing signature validation allows arbitrary users to impersonate any remote user

inboxで受信したActivityPubリクエストの検証が不十分なため、特定の環境において任意のユーザーが別のユーザーになりすますことができます。この脆弱性はフォーク元で発見されたものと同一です

実際のホスト名と一致しないHOSTヘッダーを持つリクエストをフィルタリングするようにリバースプロキシを設定することで実用的な緩和が可能です。（ただし完璧ではありません）
- Cloudflareや適切に設定されたnginx、Caddyなどのリバースプロキシを使用している場合は問題ありません
- 受信した全てのリクエストをNexkeyにプロキシするよう設定していたり、外部から直接nexkeyがlistenしているポートにアクセスできるような環境では、上記のWorkaroundsを実行する必要があります。

Provide feedback