Vulnerabilities ›

CVE-2026-28432

High

CWE-347 — Weakness Type

                    Published: Mar 10, 2026                      ·  Modified: Mar 17, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

Misskey is an open source, federated social media platform. All Misskey servers prior to 2026.3.1 contain a vulnerability that allows bypassing HTTP signature verification. Although this is a vulnerability related to federation, it affects all servers regardless of whether federation is enabled or disabled. This vulnerability is fixed in 2026.3.1.

🤖 AI Executive Summary

Misskey servers prior to version 2026.3.1 contain a critical HTTP signature verification bypass vulnerability affecting all instances regardless of federation status. This allows attackers to forge authenticated requests and potentially compromise server integrity and user data.

📄 Description (Arabic)

تؤثر هذه الثغرة على جميع خوادم Misskey بغض النظر عن تفعيل الاتحاد، مما يسمح بتجاوز آليات التحقق من التوقيع الرقمي للطلبات. يمكن للمهاجمين استخدام هذا لتزوير الطلبات والتأثير على سلامة البيانات والخدمة.

🤖 ملخص تنفيذي (AI)

خوادم Misskey السابقة للإصدار 2026.3.1 تحتوي على ثغرة حرجة في التحقق من توقيع HTTP تؤثر على جميع الخوادم بغض النظر عن حالة الاتحاد. يسمح هذا للمهاجمين بتزوير الطلبات المصرح بها والتأثير على سلامة الخادم وبيانات المستخدم.

🤖 AI Intelligence Analysis Analyzed: May 3, 2026 03:01

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government telecom

🎯 MITRE ATT&CK Techniques

T1190 T1556 T1021

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade all Misskey instances to version 2026.3.1 or later. Verify HTTP signature verification is properly enforced in all federation communications. Implement network monitoring to detect forged authenticated requests. Review access logs for suspicious activity since the vulnerability disclosure date.

🔧 خطوات المعالجة (العربية)

قم بترقية جميع خوادم Misskey فوراً إلى الإصدار 2026.3.1 أو أحدث. تحقق من فرض التحقق من توقيع HTTP بشكل صحيح في جميع اتصالات الاتحاد. طبق مراقبة الشبكة للكشف عن الطلبات المصرح بها المزيفة. راجع سجلات الوصول للنشاط المريب منذ تاريخ الكشف عن الثغرة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

CC-6.1 CC-6.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 1

🔗

https://github.com/misskey-dev/misskey/security/advisories/GHSA-grwc-c762-gcvp

security-advisories@github.com

Vendor Advisory

📦 Affected Products / CPE 1 entries

misskey:misskey

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-347

Exploit No

Patch ✓ Yes

Published 2026-03-10

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-347

🏢 Vendor Advisories

🔗 https://github.com/misskey-dev/misskey/security/advi...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-28432

💬 Comments

Introduce Yourself

Sign In Required