Skip to content

External apps using tokens issued by administrators and moderators can call admin APIs

Critical
nexryai published GHSA-pjj7-7hcj-9cpc Dec 26, 2023

Package

npm nexkey (npm)

Affected versions

< 12.23Q4.4

Patched versions

12.23Q4.5

Description

Impact

認証が不十分なため、トークン生成時に明示的に権限を付与しなくても管理人とモデレーターの発行した(もしくはMiAuth経由で生成された)APIトークンを利用した外部アプリが管理用のapiを呼び出せます。これにより、悪意のあるサードパーティアプリによるサーバー設定の更新などの操作や、オブジェクトストレージやメールサーバーのクレデンシャルの漏洩が発生します。

Patches

Workarounds

信頼できない外部アプリに対していかなるAPIトークンも発行しない

References

Severity

Critical
9.1
/ 10

CVSS base metrics

Attack vector
Network
Attack complexity
Low
Privileges required
Low
User interaction
Required
Scope
Changed
Confidentiality
High
Integrity
High
Availability
High
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

CVE ID

CVE-2023-52077

Weaknesses

No CWEs