This account is not set to public on notestock.
This account is not set to public on notestock.
複数の独立した(フォークを含まない)実装に影響するようなクラスの脆弱性でないならあまり私の関心分野ではないかも知れないけど(?)
やべえ秘密鍵をpushしてしまった、もうおしまいだ……(いいえ)
tesaguri/activitypub-type-confusion-poc: Proof of Concept for the type confusion vulnerability of ActivityPub implementations
https://github.com/tesaguri/activitypub-type-confusion-poc
というわけで、2024-02-17頃にMastodonやMisskeyなどで修正された脆弱性のPoCを今になってこっそりと公開するなどしていた
原理としては単純な脆弱性なので具体的なPoC自体は大して重要でもないと思うけど、MisskeyのPoCはちょっとしたindirectionを要しているので、そこは見所といえるかも
いや、そのハックも含めてMisskey側のGHSAで既に言及されているからやはり見所はないかも
元々スクリプトも文章も脆弱性報告に使える程度には形になっていたのに、仕上げが面倒だからといって公開を先延ばしにしていたら一瞬で9ヶ月も経っていた……(?)