CVE-2025-46559

Nome do Software Vulnerável e Versões Afetadas Versões do Misskey de 12.31.0 a 2025.4.0

Descrição A falha está relacionada à falta de validação em Mk:api, o que permite que código AiScript malicioso acesse endpoints adicionais aos quais não foi projetado para ter acesso. Isso é realizado ao prefixar uma URL com ../ para sair do diretório /api, permitindo assim fazer requisições para outros endpoints, como /files, /url e /proxy.

Recomendações Para as versões de 12.31.0 a 2025.4.0, atualize para a versão 2025.4.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao Mk:api para minimizar o risco de exploração. Evite usar o prefixo ../ em URLs para os endpoints de API afetados até que o problema seja resolvido.