Misskey · Misskey · CVE-2025-24896
Nome do Software Vulnerável e Versões Afetadas:
Versões do Misskey de 12.109.0 até 2025.2.0-alpha.0
Descrição:
O Misskey é uma plataforma de mídia social federada e de código aberto. Um token de login chamado `token` é armazenado em um cookie para fins de autenticação no Bull Dashboard, mas não é excluído mesmo após a realização do logout. Os principais usuários afetados serão aqueles que fizeram login no Misskey usando um PC público ou o dispositivo de outra pessoa, mas é possível que usuários que fizeram logout do Misskey antes de emprestar seu PC para outra pessoa também sejam afetados.
Recomendações:
Para as versões de 12.109.0 até 2025.2.0-alpha.0, atualize para a versão 2025.2.0-alpha.0 ou posterior para resolver o problema. Como uma solução temporária, considere limpar os cookies após fazer logout do Misskey para minimizar o risco de exploração. Restrinja o acesso a informações sensíveis em dispositivos compartilhados para prevenir o potencial uso indevido do token de login não excluído.