Plateforme
rust
Composant
activitypub_federation
Corrigé dans
0.7.1
0.7.0-beta.9
La vulnérabilité CVE-2026-33693 est de type SSRF (Server-Side Request Forgery) et affecte le composant activitypub_federation. Un attaquant non authentifié peut exploiter cette faille pour contourner les protections SSRF et accéder à des services locaux sur le serveur cible. Cette vulnérabilité est corrigée dans la version 0.7.0-beta.9.
La vulnérabilité CVE-2026-33693 dans Lemmy, liée à la bibliothèque activitypub-federation-rust, permet à un attaquant distant de contourner les protections SSRF (Server-Side Request Forgery) mises en place pour corriger CVE-2025-25194. La fonction v4isinvalid() ne valide pas correctement l'adresse IPv4 0.0.0.0 (UNSPECIFIED). Un attaquant peut manipuler un domaine distant pour qu'il pointe vers cette adresse, lui permettant d'accéder aux services locaux sur le serveur cible, même si les protections SSRF précédentes étaient en place. Cela représente un risque important, car cela permet un accès non autorisé aux services internes qui ne sont généralement pas exposés au réseau externe.
Un attaquant doit contrôler un domaine pouvant être utilisé pour effectuer des requêtes vers Lemmy. En configurant ce domaine pour qu'il pointe vers 0.0.0.0, l'attaquant peut tromper Lemmy pour qu'il effectue des requêtes vers son propre localhost. Étant donné que la validation de l'adresse IP est défectueuse, Lemmy ne détecte pas cette situation comme invalide, ce qui permet l'accès aux services internes. L'authentification n'est pas requise pour exploiter cette vulnérabilité, ce qui augmente sa gravité.
Organizations using activitypub-federation-rust in their applications, particularly those hosting instances that federate with other ActivityPub servers, are at risk. Systems with exposed localhost services and those relying on the previous fix for CVE-2025-25194 are especially vulnerable.
• rust: Examine the src/utils.rs file for the v4isinvalid() function and verify that it correctly handles Ipv4Addr::UNSPECIFIED.
• linux / server: Monitor system logs (journalctl) for unusual outbound connections to localhost originating from the activitypub-federation-rust process.
journalctl -u <activitypub-service-name> | grep '0.0.0.0'• generic web: Use curl to test for SSRF by attempting to access internal services via the vulnerable endpoint.
curl -H "Host: internal-service" http://<vulnerable-host>/<vulnerable-endpoint>disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à jour Lemmy vers la version 0.7.0-beta.9 ou supérieure. Cette version corrige la fonction v4isinvalid() pour inclure la validation de l'adresse IPv4 0.0.0.0. Il est recommandé d'appliquer cette mise à jour dès que possible pour atténuer le risque d'exploitation. De plus, examinez les configurations réseau et les règles de pare-feu pour vous assurer que seuls les services nécessaires sont accessibles à partir de sources fiables. Surveiller les journaux du serveur à la recherche d'activités suspectes est également une pratique recommandée.
Actualice la biblioteca `activitypub-federation-rust` a la versión 0.7.0-beta.9 o superior. Esta versión corrige la vulnerabilidad SSRF al verificar correctamente la dirección IPv4 no especificada (0.0.0.0).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SSRF (Server-Side Request Forgery) est une vulnérabilité qui permet à un attaquant de faire en sorte que le serveur effectue des requêtes vers des ressources que l'attaquant contrôle. Cela peut permettre d'accéder à des données sensibles ou d'exécuter du code malveillant.
Cette version contient la correction pour CVE-2026-33693, ce qui atténue le risque d'exploitation de la vulnérabilité SSRF.
En plus de mettre à jour Lemmy, examinez votre configuration réseau, vos règles de pare-feu et surveillez les journaux du serveur à la recherche d'activités suspectes.
Oui, toutes les installations de Lemmy utilisant des versions antérieures à 0.7.0-beta.9 sont vulnérables à cette vulnérabilité.
Surveillez les journaux du serveur à la recherche de requêtes inhabituelles vers localhost ou des adresses IP internes. Examinez également la configuration du serveur pour détecter tout changement non autorisé.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Cargo.lock et nous te dirons instantanément si tu es affecté.