misskey bis 2025.9.1/2025.11.1/2025.12.0-alpha.1 Header X-Forwarded-For Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.8 | $0-$5k | 0.00 |
Zusammenfassung
In misskey bis 2025.9.1/2025.11.1/2025.12.0-alpha.1 wurde eine problematische Schwachstelle ausgemacht. Dabei betrifft es einen unbekannter Codeteil der Komponente Header Handler. Die Manipulation des Arguments X-Forwarded-For führt zu Information Disclosure. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2025-66482 gehandelt. Der Angriff kann über das Netzwerk passieren. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Eine kritische Schwachstelle wurde in misskey bis 2025.9.1/2025.11.1/2025.12.0-alpha.1 entdeckt. Hierbei geht es um unbekannter Programmcode der Komponente Header Handler. Mittels Manipulieren des Arguments X-Forwarded-For mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-307. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Misskey is an open source, federated social media platform. Attackers who use an untrusted reverse proxy or not using a reverse proxy at all can bypass IP rate limiting by adding a forged X-Forwarded-For header. Starting with version 2025.9.1, an option (`trustProxy`) has been added in config file to prevent this from happening. However, it is initialized with an insecure default value before version 2025.12.0-alpha.2, making it still vulnerable if the configuration is not set correctly. This is patched in v2025.12.0-alpha.2 by flipping default value of `trustProxy` to `false`. Users of a trusted reverse proxy who are unsure if they manually overode this value should check their config for optimal behavior. Users are running Misskey with a trusted reverse proxy should not be affected by this vulnerability. From v2025.9.1 to v2025.11.1, workaround is available. Set `trustProxy: false` in config file.Das Advisory kann von github.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 02.12.2025 als CVE-2025-66482 statt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1110.001.
Ein Upgrade auf die Version 2025.12.0-alpha.2 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 5512898463fa8487b9e6488912f35102b91f25f7 beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 6.9VulDB Meta Temp Score: 6.8
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.5
NVD Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-307 / CWE-799 / CWE-400
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: misskey 2025.12.0-alpha.2
Patch: 5512898463fa8487b9e6488912f35102b91f25f7
Timeline
02.12.2025 CVE zugewiesen16.12.2025 Advisory veröffentlicht
16.12.2025 VulDB Eintrag erstellt
06.01.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: GHSA-wwrj-3hvj-prpmStatus: Bestätigt
CVE: CVE-2025-66482 (🔒)
GCVE (CVE): GCVE-0-2025-66482
GCVE (VulDB): GCVE-100-336584
Eintrag
Erstellt: 16.12.2025 05:51Aktualisierung: 06.01.2026 21:49
Anpassungen: 16.12.2025 05:51 (70), 06.01.2026 21:49 (11)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.