一、 漏洞 CVE-2025-46559 基础信息
漏洞信息
                                        # Misskey通过"Mk:api"在AiScript中的目录遍历漏洞

# 漏洞描述

## 概述
Misskey 是一个开源的联邦社交媒体平台。在版本 12.31.0 至 2025.4.1 之间,`Mk:api` 缺少验证允许恶意 AiScript 代码访问其不应访问的额外端点。

## 影响版本
- **受影响版本**: 从 12.31.0 到 2025.4.1
- **修复版本**: 2025.4.1

## 细节
缺失的验证允许恶意 AiScript 代码通过在 URL 前缀添加 `../` 来跳出 `/api` 目录,从而能够请求其他端点,如 `/files`, `/url`, 和 `/proxy`。

## 影响
由于缺失验证,恶意 AiScript 代码可以访问本不应访问的端点,导致潜在的安全风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Misskey Directory Traversal Vulnerability in AiScript via `Mk:api`
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Misskey is an open source, federated social media platform. Starting in version 12.31.0 and prior to version 2025.4.1, missing validation in `Mk:api` allows malicious AiScript code to access additional endpoints that it isn't designed to have access to. The missing validation allows malicious AiScript code to prefix a URL with `../` to step out of the `/api` directory, thereby being able to make requests to other endpoints, such as `/files`, `/url`, and `/proxy`. Version 2025.4.1 fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Misskey 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Misskey是Misskey开源的一个永久免费的开源联合社交媒体平台。 Misskey 12.31.0至2025.4.1之前版本存在路径遍历漏洞,该漏洞源于Mk:api验证不足,可能导致未授权访问端点。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-46559 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-46559 的情报信息