CVE-2025-24896

See a problem?
Please try reporting it to the source first.
Source
https://cve.org/CVERecord?id=CVE-2025-24896
Import Source
https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-24896.json
JSON Data
https://api.osv.dev/v1/vulns/CVE-2025-24896
Aliases
  • GHSA-w98m-j6hq-cwjm
Published
2025-02-11T15:14:09.305Z
Modified
2026-03-01T08:12:39.048853Z
Severity
  • 8.1 (High) CVSS_V3 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N CVSS Calculator
Summary
Misskey allows token to remain valid in cookie after signing out
Details

Misskey is an open source, federated social media platform. Starting in version 12.109.0 and prior to version 2025.2.0-alpha.0, a login token named token is stored in a cookie for authentication purposes in Bull Dashboard, but this remains undeleted even after logout is performed. The primary affected users will be users who have logged into Misskey using a public PC or someone else's device, but it's possible that users who have logged out of Misskey before lending their PC to someone else could also be affected. Version 2025.2.0-alpha.0 contains a fix for this issue.

Database specific 
{
    "cwe_ids": [
        "CWE-613"
    ],
    "cna_assigner": "GitHub_M",
    "osv_generated_from": "https://github.com/CVEProject/cvelistV5/tree/main/cves/2025/24xxx/CVE-2025-24896.json"
}
References

Affected packages

Git / github.com/misskey-dev/misskey

Affected ranges

Type
GIT
Repo
https://github.com/misskey-dev/misskey
Events
Introduced
2375359d129b63988b0658f735e1d9c014c10d71
Fixed
89b461a5da42e6632a60c29796df6fb74d3cafd1
Database specific 
{
    "versions": [
        {
            "introduced": "12.109.0"
        },
        {
            "fixed": "2025.2.0-alpha.0"
        }
    ]
}

Affected versions

12.*
12.109.0
12.109.1
12.109.2
12.110.0
12.110.1
12.111.0
12.111.1
12.112.0
12.112.1
12.112.2
12.112.3
12.113.0
12.114.0
12.115.0
12.116.0
12.116.1
12.117.0
12.117.1
12.118.0
12.118.1
12.119.0
12.119.1
13.*
13.0.0
13.0.0-beta.16
13.0.0-beta.21
13.0.0-beta.22
13.0.0-beta.23
13.0.0-beta.24
13.0.0-beta.25
13.0.0-beta.26
13.0.0-beta.27
13.0.0-beta.28
13.0.0-beta.29
13.0.0-beta.30
13.0.0-beta.31
13.0.0-beta.32
13.0.0-beta.33
13.0.0-beta.34
13.0.0-beta.35
13.0.0-beta.36
13.0.0-beta.37
13.0.0-beta.38
13.0.0-beta.39
13.0.0-beta.40
13.0.0-beta.41
13.0.0-beta.42
13.0.0-beta.43
13.0.0-rc.1
13.0.0-rc.10
13.0.0-rc.11
13.0.0-rc.2
13.0.0-rc.3
13.0.0-rc.4
13.0.0-rc.5
13.0.0-rc.6
13.0.0-rc.7
13.0.0-rc.8
13.0.0-rc.9
13.1.0
13.1.0-beta.1
13.1.0-beta.2
13.1.1
13.1.2
13.1.3
13.1.4
13.1.5
13.1.6
13.1.7
13.1.8
13.10.0
13.10.1
13.10.2
13.10.3
13.11.0
13.11.0-beta.4
13.11.0-beta.5
13.11.0-beta.6
13.11.0-beta.7
13.11.0-beta.8
13.11.0.beta-1
13.11.0.beta-2
13.11.0.beta-3
13.11.1
13.11.2
13.11.3
13.12.0
13.12.0-beta.1
13.12.0-beta.2
13.12.0-beta.3
13.12.0-beta.4
13.12.0-beta.5
13.12.0-beta.6
13.12.1
13.12.2
13.13.0
13.13.0-beta.1
13.13.0-beta.2
13.13.0-beta.3
13.13.0-beta.4
13.13.0-beta.5
13.13.0-beta.6
13.13.0-beta.7
13.13.1
13.13.2
13.14.0
13.14.0-beta.1
13.14.0-beta.2
13.14.0-beta.3
13.14.0-beta.4
13.14.0-beta.5
13.14.0-beta.6
13.14.0-beta.7
13.14.1
13.14.2
13.2.0
13.2.1
13.2.2
13.2.3
13.2.4
13.2.5
13.2.6
13.3.0
13.3.1
13.3.2
13.3.3
13.3.4
13.4.0
13.5.0
13.5.1
13.5.2
13.5.3
13.5.4
13.5.5
13.5.6
13.6.0
13.6.1
13.7.0
13.7.1
13.7.2
13.7.3
13.7.4
13.7.5
13.8.0
13.8.1
13.9.0
13.9.1
13.9.2
2023.*
2023.10.0
2023.10.0-beta.1
2023.10.0-beta.10
2023.10.0-beta.11
2023.10.0-beta.12
2023.10.0-beta.13
2023.10.0-beta.14
2023.10.0-beta.15
2023.10.0-beta.2
2023.10.0-beta.3
2023.10.0-beta.4
2023.10.0-beta.5
2023.10.0-beta.6
2023.10.0-beta.7
2023.10.0-beta.8
2023.10.0-beta.9
2023.10.1
2023.10.2
2023.10.2-beta.1
2023.10.2-beta.2
2023.11.0
2023.11.0-beta.1
2023.11.0-beta.10
2023.11.0-beta.2
2023.11.0-beta.3
2023.11.0-beta.4
2023.11.0-beta.5
2023.11.0-beta.6
2023.11.0-beta.7
2023.11.0-beta.8
2023.11.0-beta.9
2023.11.1
2023.11.1-beta.1
2023.11.1-beta.2
2023.12.0
2023.12.0-beta.1
2023.12.0-beta.2
2023.12.0-beta.3
2023.12.0-beta.4
2023.12.0-beta.5
2023.12.0-beta.6
2023.12.1
2023.12.2
2023.9.0
2023.9.0-beta.1
2023.9.0-beta.10
2023.9.0-beta.11
2023.9.0-beta.2
2023.9.0-beta.3
2023.9.0-beta.4
2023.9.0-beta.5
2023.9.0-beta.6
2023.9.0-beta.7
2023.9.0-beta.8
2023.9.0-beta.9
2023.9.0-rc.1
2023.9.0-rc.2
2023.9.0-rc.3
2023.9.0-rc.4
2023.9.1
2023.9.2
2023.9.3
2024.*
2024.10.0
2024.10.0-alpha.0
2024.10.0-alpha.1
2024.10.0-beta.2
2024.10.0-beta.3
2024.10.0-beta.4
2024.10.0-beta.5
2024.10.0-beta.6
2024.10.1
2024.10.1-alpha.0
2024.10.1-beta.1
2024.10.1-beta.2
2024.10.1-beta.3
2024.10.1-beta.4
2024.10.1-beta.5
2024.10.1-beta.6
2024.10.2-alpha.0
2024.10.2-alpha.1
2024.10.2-alpha.2
2024.10.2-alpha.3
2024.11.0
2024.11.0-alpha.0
2024.11.0-alpha.1
2024.11.0-alpha.2
2024.11.0-alpha.3
2024.11.0-beta.4
2024.11.1-alpha.0
2024.2.0
2024.2.0-beta.1
2024.2.0-beta.10
2024.2.0-beta.12
2024.2.0-beta.13
2024.2.0-beta.2
2024.2.0-beta.3
2024.2.0-beta.4
2024.2.0-beta.5
2024.2.0-beta.6
2024.2.0-beta.7
2024.2.0-beta.8
2024.2.0-beta.9
2024.3.0
2024.3.1
2024.5.0
2024.5.0-beta.0
2024.5.0-beta.1
2024.5.0-beta.2
2024.5.0-beta.3
2024.5.0-beta.4
2024.5.0-beta.5
2024.5.0-rc.10
2024.5.0-rc.11
2024.5.0-rc.12
2024.5.0-rc.13
2024.5.0-rc.6
2024.5.0-rc.7
2024.5.0-rc.8
2024.5.0-rc.9
2024.7.0
2024.7.0-beta.0
2024.7.0-beta.1
2024.7.0-beta.2
2024.7.0-beta.3
2024.7.0-rc.4
2024.7.0-rc.5
2024.7.0-rc.6
2024.7.0-rc.7
2024.7.0-rc.8
2024.8.0
2024.8.0-alpha.0
2024.8.0-alpha.1
2024.8.0-beta.2
2024.8.0-rc.3
2024.8.0-rc.4
2024.8.0-rc.5
2024.9.0
2024.9.0-alpha.0
2024.9.0-alpha.1
2024.9.0-alpha.10
2024.9.0-alpha.11
2024.9.0-alpha.12
2024.9.0-alpha.13
2024.9.0-alpha.2
2024.9.0-alpha.3
2024.9.0-alpha.4
2024.9.0-alpha.5
2024.9.0-alpha.6
2024.9.0-alpha.7
2024.9.0-alpha.8
2024.9.0-alpha.9
2024.9.0-beta.14
2025.*
2025.1.0
2025.1.0-alpha.0
2025.1.0-beta.0
2025.1.0-beta.1
2025.1.0-beta.2
2025.1.0-beta.3

Database specific

source 
"https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-24896.json"

Git / github.com/syuilo/misskey

Affected ranges

Type
GIT
Repo
https://github.com/syuilo/misskey
Events
Introduced
2375359d129b63988b0658f735e1d9c014c10d71
Last affected
87b9016dbe75573db52ee03bbc67315caf8bbe6a

Affected versions

12.*
12.109.0
12.109.1
12.109.2
12.110.0
12.110.1
12.111.0
12.111.1
12.112.0
12.112.1
12.112.2
12.112.3
12.113.0
12.114.0
12.115.0
12.116.0
12.116.1
12.117.0
12.117.1
12.118.0
12.118.1
12.119.0
12.119.1
13.*
13.0.0
13.0.0-beta.16
13.0.0-beta.21
13.0.0-beta.22
13.0.0-beta.23
13.0.0-beta.24
13.0.0-beta.25
13.0.0-beta.26
13.0.0-beta.27
13.0.0-beta.28
13.0.0-beta.29
13.0.0-beta.30
13.0.0-beta.31
13.0.0-beta.32
13.0.0-beta.33
13.0.0-beta.34
13.0.0-beta.35
13.0.0-beta.36
13.0.0-beta.37
13.0.0-beta.38
13.0.0-beta.39
13.0.0-beta.40
13.0.0-beta.41
13.0.0-beta.42
13.0.0-beta.43
13.0.0-rc.1
13.0.0-rc.10
13.0.0-rc.11
13.0.0-rc.2
13.0.0-rc.3
13.0.0-rc.4
13.0.0-rc.5
13.0.0-rc.6
13.0.0-rc.7
13.0.0-rc.8
13.0.0-rc.9
13.1.0
13.1.0-beta.1
13.1.0-beta.2
13.1.1
13.1.2
13.1.3
13.1.4
13.1.5
13.1.6
13.1.7
13.1.8
13.10.0
13.10.1
13.10.2
13.10.3
13.11.0
13.11.0-beta.4
13.11.0-beta.5
13.11.0-beta.6
13.11.0-beta.7
13.11.0-beta.8
13.11.0.beta-1
13.11.0.beta-2
13.11.0.beta-3
13.11.1
13.11.2
13.11.3
13.12.0
13.12.0-beta.1
13.12.0-beta.2
13.12.0-beta.3
13.12.0-beta.4
13.12.0-beta.5
13.12.0-beta.6
13.12.1
13.12.2
13.13.0
13.13.0-beta.1
13.13.0-beta.2
13.13.0-beta.3
13.13.0-beta.4
13.13.0-beta.5
13.13.0-beta.6
13.13.0-beta.7
13.13.1
13.13.2
13.14.0
13.14.0-beta.1
13.14.0-beta.2
13.14.0-beta.3
13.14.0-beta.4
13.14.0-beta.5
13.14.0-beta.6
13.14.0-beta.7
13.14.1
13.14.2
13.2.0
13.2.1
13.2.2
13.2.3
13.2.4
13.2.5
13.2.6
13.3.0
13.3.1
13.3.2
13.3.3
13.3.4
13.4.0
13.5.0
13.5.1
13.5.2
13.5.3
13.5.4
13.5.5
13.5.6
13.6.0
13.6.1
13.7.0
13.7.1
13.7.2
13.7.3
13.7.4
13.7.5
13.8.0
13.8.1
13.9.0
13.9.1
13.9.2
2023.*
2023.10.0
2023.10.0-beta.1
2023.10.0-beta.10
2023.10.0-beta.11
2023.10.0-beta.12
2023.10.0-beta.13
2023.10.0-beta.14
2023.10.0-beta.15
2023.10.0-beta.2
2023.10.0-beta.3
2023.10.0-beta.4
2023.10.0-beta.5
2023.10.0-beta.6
2023.10.0-beta.7
2023.10.0-beta.8
2023.10.0-beta.9
2023.10.1
2023.10.2
2023.10.2-beta.1
2023.10.2-beta.2
2023.11.0
2023.11.0-beta.1
2023.11.0-beta.10
2023.11.0-beta.2
2023.11.0-beta.3
2023.11.0-beta.4
2023.11.0-beta.5
2023.11.0-beta.6
2023.11.0-beta.7
2023.11.0-beta.8
2023.11.0-beta.9
2023.11.1
2023.11.1-beta.1
2023.11.1-beta.2
2023.12.0
2023.12.0-beta.1
2023.12.0-beta.2
2023.12.0-beta.3
2023.12.0-beta.4
2023.12.0-beta.5
2023.12.0-beta.6
2023.12.1
2023.12.2
2023.9.0
2023.9.0-beta.1
2023.9.0-beta.10
2023.9.0-beta.11
2023.9.0-beta.2
2023.9.0-beta.3
2023.9.0-beta.4
2023.9.0-beta.5
2023.9.0-beta.6
2023.9.0-beta.7
2023.9.0-beta.8
2023.9.0-beta.9
2023.9.0-rc.1
2023.9.0-rc.2
2023.9.0-rc.3
2023.9.0-rc.4
2023.9.1
2023.9.2
2023.9.3
2024.*
2024.10.0
2024.10.0-alpha.0
2024.10.0-alpha.1
2024.10.0-beta.2
2024.10.0-beta.3
2024.10.0-beta.4
2024.10.0-beta.5
2024.10.0-beta.6
2024.10.1
2024.10.1-alpha.0
2024.10.1-beta.1
2024.10.1-beta.2
2024.10.1-beta.3
2024.10.1-beta.4
2024.10.1-beta.5
2024.10.1-beta.6
2024.10.2-alpha.0
2024.10.2-alpha.1
2024.10.2-alpha.2
2024.10.2-alpha.3
2024.11.0
2024.11.0-alpha.0
2024.11.0-alpha.1
2024.11.0-alpha.2
2024.11.0-alpha.3
2024.11.0-beta.4
2024.11.1-alpha.0
2024.2.0
2024.2.0-beta.1
2024.2.0-beta.10
2024.2.0-beta.12
2024.2.0-beta.13
2024.2.0-beta.2
2024.2.0-beta.3
2024.2.0-beta.4
2024.2.0-beta.5
2024.2.0-beta.6
2024.2.0-beta.7
2024.2.0-beta.8
2024.2.0-beta.9
2024.3.0
2024.3.1
2024.5.0
2024.5.0-beta.0
2024.5.0-beta.1
2024.5.0-beta.2
2024.5.0-beta.3
2024.5.0-beta.4
2024.5.0-beta.5
2024.5.0-rc.10
2024.5.0-rc.11
2024.5.0-rc.12
2024.5.0-rc.13
2024.5.0-rc.6
2024.5.0-rc.7
2024.5.0-rc.8
2024.5.0-rc.9
2024.7.0
2024.7.0-beta.0
2024.7.0-beta.1
2024.7.0-beta.2
2024.7.0-beta.3
2024.7.0-rc.4
2024.7.0-rc.5
2024.7.0-rc.6
2024.7.0-rc.7
2024.7.0-rc.8
2024.8.0
2024.8.0-alpha.0
2024.8.0-alpha.1
2024.8.0-beta.2
2024.8.0-rc.3
2024.8.0-rc.4
2024.8.0-rc.5
2024.9.0
2024.9.0-alpha.0
2024.9.0-alpha.1
2024.9.0-alpha.10
2024.9.0-alpha.11
2024.9.0-alpha.12
2024.9.0-alpha.13
2024.9.0-alpha.2
2024.9.0-alpha.3
2024.9.0-alpha.4
2024.9.0-alpha.5
2024.9.0-alpha.6
2024.9.0-alpha.7
2024.9.0-alpha.8
2024.9.0-alpha.9
2024.9.0-beta.14
2025.*
2025.1.0
2025.1.0-alpha.0
2025.1.0-beta.0
2025.1.0-beta.1
2025.1.0-beta.2
2025.1.0-beta.3

Database specific

source 
"https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-24896.json"