CVE-2025-46340

Nome do Software Vulnerável e Versões Afetadas Versões do Misskey 12.0.0 até 2025.4.0

Descrição O problema surge de uma falha na validação realizada em UrlPreviewService e MkUrlPreview, permitindo que um atacante injete CSS arbitrário no componente MkUrlPreview. Isso pode levar à desanonimização de usuários e a outros ataques no cliente. A função UrlPreviewService.wrap recorre a retornar a URL original se ela utilizar um protocolo diferente de http ou https. Além disso, MkUrlPreview não faz o escape de CSS ao aplicar a propriedade background-image, permitindo que um atacante crie uma URL que aplica estilos arbitrários ao elemento de visualização. Um atacante pode teoricamente criar um payload de injeção de CSS para gerar uma mensagem de erro falsa, enganando o usuário para que revele suas credenciais ou informações sensíveis similares.

Recomendações Para as versões do Misskey 12.0.0 até 2025.4.0, atualize para a versão 2025.4.1, que contém uma correção para o problema. Como solução temporária, considere desativar os componentes UrlPreviewService e MkUrlPreview até que a correção seja aplicada. Restrinja o acesso ao componente MkUrlPreview para minimizar o risco de exploração. Evite usar a propriedade background-image no componente MkUrlPreview afetado até que o problema seja resolvido.