12:48:50

💬 Commented on "update deps": syuilo "ヌァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァンンンンオオオオンンオンオンオンオンンンンンンンンン゛ン゛!!!!!!!!!!!!!!!!"
https://github.com/misskey-dev/misskey/pull/13624#issuecomment-2080346859

update deps by syuilo · Pull Request #13624 · misskey-dev/misskey
12:57:03

🆕 Pushed by syuilo with 1 commit:
?[6abb8c4] Merge pull request from GHSA-m9qf-3pfj-2r86

Comparing 85339ca75140...6abb8c49943a · misskey-dev/misskey
Merge pull request from GHSA-m9qf-3pfj-2r86 · misskey-dev/misskey@6abb8c4
20:27:02

💬 Commented on "Fix(backend): ActivityPubでのHTMLへのシリアライズを修正": syuilo "🙏🏻 "
https://github.com/misskey-dev/misskey/pull/13752#issuecomment-2080459020

Fix(backend): ActivityPubでのHTMLへのシリアライズを修正 by ikasoba · Pull Request #13752 · misskey-dev/misskey
22:19:05

💬 Commented on "AP向けHTMLにおいて<や>、&といった記号がエスケープされていない": mei23 "createTextNode使ってるのにエスケープされずに出てきてしまう時点でおかしいと思って
https://github.com/misskey-dev/misskey/blob/20eb4bc29600975ea9b6d74426204b8f6871bc27/packages/backend/src/core/MfmService.ts#L428
https://developer.mozilla.org/ja/docs/Web/API/Document/createTextNode

JSDOMの時は起きてなくてhappy-domにしてから起きてそうなので https://github.com/misskey-dev/misskey/pull/10016
happy-dom自体の挙動を見た方がいいように思えるわ。

リモート向けはリモートでバリデーションを行うだろうから大丈夫だけど、ローカル向けのHTMLで使ってたら脆弱性ではと思うのだわ。
"
https://github.com/misskey-dev/misskey/issues/13626#issuecomment-2080641654

AP向けHTMLにおいて、&といった記号がエスケープされていない · Issue #13626 · misskey-dev/misskey