Misskeyはオープンソースの分散型ソーシャルメディアプラットフォームです。信頼されていないリバースプロキシを使用している場合や、リバースプロキシを使用していない場合、攻撃者が偽造したX-Forwarded-Forヘッダーを追加することでIPレート制限を回避できる可能性があります。バージョン2025.9.1から、この問題を防ぐために設定ファイルに `trustProxy` オプションが追加されました。しかし、2025.12.0-alpha.2より前のバージョンでは、この値が安全でない初期値で設定されていたため、設定を正しく行わなければ引き続き脆弱な状態が続きます。v2025.12.0-alpha.2で `trustProxy` のデフォルト値が `false` に変更されたことにより、この問題は修正されました。信頼されたリバースプロキシを利用し、手動でこの値を変更したかどうか不明なユーザーは、最適な動作のために設定ファイルを確認することを推奨します。信頼されたリバースプロキシのもとでMisskeyを利用している場合、この脆弱性の影響は受けません。v2025.9.1からv2025.11.1までのバージョンでは、回避策として設定ファイルで `trustProxy: false` を指定してください。
|