Plattform
rust
Komponente
activitypub_federation
Behoben in
0.7.1
0.7.0-beta.9
CVE-2026-33693 describes a Server-Side Request Forgery (SSRF) vulnerability discovered in the activitypub-federation-rust library. This flaw allows unauthenticated attackers to bypass SSRF protections, potentially granting access to localhost services on the target server. The vulnerability impacts versions prior to 0.7.0-beta.9, and a fix has been released in that version.
Die CVE-2026-33693-Schwachstelle in Lemmy, die mit der Bibliothek activitypub-federation-rust zusammenhängt, ermöglicht einem Remote-Angreifer, SSRF-Schutzmaßnahmen (Server-Side Request Forgery) zu umgehen, die implementiert wurden, um CVE-2025-25194 zu beheben. Die Funktion v4isinvalid() validiert die IPv4-Adresse 0.0.0.0 (UNSPECIFIED) nicht korrekt. Ein Angreifer kann eine Remote-Domäne so manipulieren, dass sie auf diese Adresse zeigt, wodurch er Zugriff auf lokale Dienste auf dem Zielserver erhält, selbst wenn die vorherigen SSRF-Schutzmaßnahmen vorhanden waren. Dies stellt ein erhebliches Risiko dar, da es unbefugten Zugriff auf interne Dienste ermöglicht, die normalerweise nicht dem externen Netzwerk ausgesetzt sind.
Ein Angreifer benötigt die Kontrolle über eine Domäne, die verwendet werden kann, um Anfragen an Lemmy zu senden. Durch die Konfiguration dieser Domäne so, dass sie auf 0.0.0.0 zeigt, kann der Angreifer Lemmy dazu verleiten, Anfragen an sein eigenes localhost zu senden. Da die IP-Adressvalidierung fehlerhaft ist, erkennt Lemmy diese Situation nicht als ungültig an und ermöglicht so den Zugriff auf interne Dienste. Für die Ausnutzung dieser Schwachstelle ist keine Authentifizierung erforderlich, was ihre Schwere erhöht.
Organizations using activitypub-federation-rust in their applications, particularly those hosting instances that federate with other ActivityPub servers, are at risk. Systems with exposed localhost services and those relying on the previous fix for CVE-2025-25194 are especially vulnerable.
• rust: Examine the src/utils.rs file for the v4isinvalid() function and verify that it correctly handles Ipv4Addr::UNSPECIFIED.
• linux / server: Monitor system logs (journalctl) for unusual outbound connections to localhost originating from the activitypub-federation-rust process.
journalctl -u <activitypub-service-name> | grep '0.0.0.0'• generic web: Use curl to test for SSRF by attempting to access internal services via the vulnerable endpoint.
curl -H "Host: internal-service" http://<vulnerable-host>/<vulnerable-endpoint>disclosure
Exploit-Status
EPSS
0.06% (18% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, Lemmy auf Version 0.7.0-beta.9 oder höher zu aktualisieren. Diese Version korrigiert die Funktion v4isinvalid(), um die Validierung der IPv4-Adresse 0.0.0.0 einzuschließen. Es wird empfohlen, dieses Update so schnell wie möglich anzuwenden, um das Risiko einer Ausnutzung zu mindern. Überprüfen Sie außerdem die Netzwerkkonfigurationen und Firewall-Regeln, um sicherzustellen, dass nur notwendige Dienste von vertrauenswürdigen Quellen aus zugänglich sind. Die Überwachung der Serverprotokolle auf verdächtige Aktivitäten wird ebenfalls empfohlen.
Actualice la biblioteca `activitypub-federation-rust` a la versión 0.7.0-beta.9 o superior. Esta versión corrige la vulnerabilidad SSRF al verificar correctamente la dirección IPv4 no especificada (0.0.0.0).
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SSRF (Server-Side Request Forgery) ist eine Schwachstelle, die es einem Angreifer ermöglicht, den Server dazu zu bringen, Anfragen an Ressourcen zu senden, die der Angreifer kontrolliert. Dies kann den Zugriff auf sensible Daten oder die Ausführung von bösartigem Code ermöglichen.
Diese Version enthält die Korrektur für CVE-2026-33693, die das Risiko der Ausnutzung der SSRF-Schwachstelle mindert.
Zusätzlich zum Aktualisieren von Lemmy sollten Sie Ihre Netzwerkkonfiguration, Firewall-Regeln überprüfen und die Serverprotokolle auf verdächtige Aktivitäten überwachen.
Ja, alle Lemmy-Installationen, die Versionen vor 0.7.0-beta.9 verwenden, sind anfällig für diese Schwachstelle.
Überwachen Sie die Serverprotokolle auf ungewöhnliche Anfragen an localhost oder interne IP-Adressen. Überprüfen Sie außerdem die Serverkonfiguration auf unbefugte Änderungen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Cargo.lock-Datei hoch und wir sagen dir sofort, ob du betroffen bist.