CVE-2026-57575 in Misskey
الملخص
بحسب VulDB • 11/07/2026
Misskey هو منصة تواصل اجتماعي مفتوحة المصدر وموزعة (Federated). قبل الإصدار 2026.6.0، تحتوي Misskey على ثغرة تزوير الطلبات من جانب الخادم (SSRF) في وظيفة معاينة عناوين URL ضمن خدمة UrlPreviewService. ونظراً لغياب قيود الشبكة قبل إنشاء الاتصالات الصادرة، يمكن لمهاجم عن بُعد دفع خادم Misskey إلى بدء طلبات HTTP نحو خدمات الحلقة المحلية (loopback)، أو الخاصة، أو ذات النطاق المحلي للربط (link-local). وبما أن التحقق من صحة عنوان IP يتم بعد إرسال الطلب ويتم رفض العملية لاحقاً، فلا يُعتقد أن أي بيانات داخلية حساسة قد تم نقلها عائدةً أو تعرضت للمهاجم. وقد تمت معالجة هذه المشكلة في الإصدار 2026.6.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.