一、 漏洞 CVE-2025-46553 基础信息
漏洞信息
                                        # @misskey-dev/summaly 重定向过滤绕过漏洞

## 漏洞概述
@misskey-dev/summaly 是一个用于获取网页摘要的工具。由于`summaly`函数中的逻辑错误,`allowRedirects`选项从未传递给任何插件,导致没有强制执行不让跟随重定向的请求。

## 影响版本
版本范围:从 3.0.1 到 5.2.0(包括 3.0.1,不包括 5.2.1)

## 漏洞细节
在版本 5.2.1 之前,`allowRedirects`选项未能正确传递给插件,导致即使明确请求不跟随重定向,Misskey 仍会进行重定向。

## 影响
此漏洞可能会导致用户输入的 URL 中的重定向被意外执行,引发潜在的安全问题。修复已在版本 5.2.1 中发布。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
@misskey-dev/summaly Redirect Filter Bypass
来源:美国国家漏洞数据库 NVD
漏洞描述信息
@misskey-dev/summaly is a tool for getting a summary of a web page. Starting in version 3.0.1 and prior to version 5.2.1, a logic error in the main `summaly` function causes the `allowRedirects` option to never be passed to any plugins, and as a result, isn't enforced. Misskey will follow redirects, despite explicitly requesting not to. Version 5.2.1 contains a patch for the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
保护机制失效
来源:美国国家漏洞数据库 NVD
漏洞标题
summaly 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
summaly是Misskey开源的一个获取任何网页的摘要的工具。 summaly 3.0.1版本至5.2.1之前版本存在安全漏洞,该漏洞源于逻辑错误导致重定向控制不当,可能导致信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-46553 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-46553 的情报信息