Misskey's Incomplete Patch of CVE-2024-52591 Leads to Forgery of Federated Notes 漏洞信息(CVE-2025-25306)

一、漏洞 CVE-2025-25306 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Misskey的CVE-2024-52591补丁不完整导致联邦笔记伪造漏洞

来源：AIGC 神龙大模型

漏洞描述信息

Misskey 是一个开源的、联合式的社交媒体平台。CVE-2024-52591 的补丁没有充分验证 ActivityPub 对象中的 `id` 和 `url` 字段之间的关系。攻击者可以伪造一个对象，在 `url` 字段中声称拥有权限，即使特定的 ActivityPub 对象类型要求在 `id` 字段中拥有权限。版本 2025.2.1 解决了该问题。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

授权机制不正确

来源：AIGC 神龙大模型

漏洞标题

Misskey's Incomplete Patch of CVE-2024-52591 Leads to Forgery of Federated Notes

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Misskey is an open source, federated social media platform. The patch for CVE-2024-52591 did not sufficiently validate the relation between the `id` and `url` fields of ActivityPub objects. An attacker can forge an object where they claim authority in the `url` field even if the specific ActivityPub object type require authority in the `id` field. Version 2025.2.1 addresses the issue.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

源验证错误

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-25306 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-25306 的情报信息

https://github.com/misskey-dev/misskey/releases/tag/2025.2.1 x_refsource_MISC
https://github.com/misskey-dev/misskey/security/advisories/GHSA-6w2c-vf6f-xf26 x_refsource_CONFIRM
https://nvd.nist.gov/vuln/detail/CVE-2025-25306

一、 漏洞 CVE-2025-25306 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-25306 的公开POC

三、漏洞 CVE-2025-25306 的情报信息

一、漏洞 CVE-2025-25306 基础信息