Warriordog

**Nome do Software Vulnerável e Versões Afetadas** Versões do Misskey 12.0.0 até 2025.4.0 **Descrição** O problema surge de uma falha na validação realizada em `UrlPreviewService` e `MkUrlPreview`, permitindo que um atacante injete CSS arbitrário no componente `MkUrlPreview`. Isso pode levar à desanonimização de usuários e a outros ataques no cliente. A função `UrlPreviewService.wrap` recorre a retornar a URL original se ela utilizar um protocolo diferente de `http` ou `https`. Além disso, `MkUrlPreview` não faz o escape de CSS ao aplicar a propriedade `background-image`, permitindo que um atacante crie uma URL que aplica estilos arbitrários ao elemento de visualização. Um atacante pode teoricamente criar um payload de injeção de CSS para gerar uma mensagem de erro falsa, enganando o usuário para que revele suas credenciais ou informações sensíveis similares. **Recomendações** Para as versões do Misskey 12.0.0 até 2025.4.0, atualize para a versão 2025.4.1, que contém uma correção para o problema. Como solução temporária, considere desativar os componentes `UrlPreviewService` e `MkUrlPreview` até que a correção seja aplicada. Restrinja o acesso ao componente `MkUrlPreview` para minimizar o risco de exploração. Evite usar a propriedade `background-image` no componente `MkUrlPreview` afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** @misskey-dev/summaly versões 3.0.1 até 5.2.0 **Descrição** Um erro de lógica na função principal `summaly` faz com que a opção `allowRedirects` nunca seja passada para nenhum plugin e, como resultado, não seja aplicada. Este problema permite que o Misskey siga redirecionamentos, apesar de ser explicitamente solicitado o contrário. O problema pode ser demonstrado publicando uma postagem contendo um link para qualquer URL que redirecione no Misskey, resultando na geração de uma pré-visualização para o destino do redirecionamento, mesmo quando `allowRedirects: false` é especificado. **Recomendações** Para as versões 3.0.1 até 5.2.0, atualize para a versão 5.2.1, que contém uma correção para o problema. Como solução temporária, considere desativar a função `summaly` até que a correção seja aplicada. Restrinja o acesso à função `summaly` para minimizar o risco de exploração. Evite usar a opção `allowRedirects` na função `summaly` afetada até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Misskey de 12.31.0 a 2025.4.0 **Descrição** A falha está relacionada à falta de validação em `Mk:api`, o que permite que código AiScript malicioso acesse endpoints adicionais aos quais não foi projetado para ter acesso. Isso é realizado ao prefixar uma URL com `../` para sair do diretório `/api`, permitindo assim fazer requisições para outros endpoints, como `/files`, `/url` e `/proxy`. **Recomendações** Para as versões de 12.31.0 a 2025.4.0, atualize para a versão 2025.4.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao `Mk:api` para minimizar o risco de exploração. Evite usar o prefixo `../` em URLs para os endpoints de API afetados até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Misskey anteriores à 2024.11.0-alpha.3 **Descrição** O problema diz respeito à falta de validação em `ApRequestService.signedGet`, permitindo que um invasor crie perfis de usuário falsos que parecem ser de uma instância diferente. Esses perfis podem ser usados para se passar por usuários existentes, dando aos invasores controle total para publicar, reenviar ou interagir como uma conta real. **Recomendações** Para versões anteriores à 2024.11.0-alpha.3, atualize para a versão 2024.11.0-alpha.3 ou posterior para resolver o problema. Como solução temporária, considere restringir as interações com perfis de usuário não verificados ou suspeitos até que a atualização possa ser aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Misskey anteriores à 2024.11.0-alpha.3 **Descrição** O Misskey é uma plataforma de mídia social federada de código aberto. Nas versões afetadas, a falta de validação em `NoteCreateService.insertNote`, `ApPersonService.createPerson` e `ApPersonService.updatePerson` permite que um invasor controle o destino de quaisquer links de “origem”, como o banner “visualizar na instância remota”. Qualquer URL HTTPS pode ser definida, mesmo que pertença a um domínio diferente da nota ou do usuário. Instâncias vulneráveis do Misskey usarão a URL não verificada para vários links clicáveis, permitindo que um invasor realize ataques de phishing ou outros tipos de ataques contra usuários remotos. **Recomendações** Para versões anteriores à 2024.11.0-alpha.3, atualize para a versão 2024.11.0-alpha.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar as funções `NoteCreateService.insertNote`, `ApPersonService.createPerson` e `ApPersonService.updatePerson` até que um patch esteja disponível. Restrinja o acesso a URLs não verificadas para minimizar o risco de exploração. Evite usar URLs não verificadas em links clicáveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Misskey anteriores à 2024.11.0-alpha.3 **Descrição** O Misskey é uma plataforma de mídia social federada de código aberto. Nas versões afetadas, a falta de validação nos métodos `ApRequestService.signedGet` e `HttpRequestService.getActivityJson` permite que um invasor crie perfis de usuário falsos e notas falsificadas. Os usuários falsificados parecerão pertencer a uma instância diferente daquela em que realmente existem, e as notas falsificadas parecerão ter sido postadas por um usuário diferente. As instâncias vulneráveis do Misskey aceitarão os objetos falsificados como válidos, permitindo que um invasor se passe por outros usuários e instâncias. O invasor mantém controle total sobre o usuário/nota falsificados e pode interagir como uma conta real. **Recomendações** Para resolver o problema, atualize para a versão 2024.11.0-alpha.3 ou posterior. Como solução alternativa temporária, considere restringir as interações com perfis de usuário e notas não verificados até que a atualização seja aplicada. Não há soluções alternativas conhecidas para essa vulnerabilidade, portanto, a atualização para a versão corrigida é a ação recomendada.

**Nome do software vulnerável e versões afetadas** Versões do Misskey anteriores à 2024.11.0-alpha.3 **Descrição** O Misskey é uma plataforma de mídia social federada de código aberto. Nas versões afetadas, a falta de validação em `ApInboxService.update` permite que um invasor modifique o resultado de enquetes pertencentes a outro usuário. Não é necessária autenticação, exceto por uma assinatura válida de qualquer agente em qualquer instância remota. As instâncias vulneráveis do Misskey aceitarão atualizações falsificadas para enquetes remotas. As enquetes locais não são afetadas. **Recomendações** Para versões anteriores à 2024.11.0-alpha.3, atualize para a versão 2024.11.0-alpha.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função `ApInboxService.update` até que um patch esteja disponível. Evite aceitar atualizações para enquetes remotas de fontes não confiáveis até que o problema seja resolvido.