Activitypub-Federation de Lemmy présente une vulnérabilité SSRF via un contournement de 0.0.0.0 dans activitypub-federation-rust v4_is_invalid()

Lemmy est un agrégateur de liens et un forum pour le fediverse. Avant la version 0.7.0-beta.9, la fonction `v4_is_invalid()` dans `activitypub-federation-rust` (`src/utils.rs`) ne vérifie pas `Ipv4Addr::UNSPECIFIED` (0.0.0.0). Un attaquant non authentifié contrôlant un domaine distant peut le pointer vers 0.0.0.0, contourner la protection SSRF introduite par le correctif pour CVE-2025-25194 (GHSA-7723-35v7-qcxw) et atteindre les services localhost sur le serveur cible. La version 0.7.0-beta.9 corrige ce problème.