प्लेटफ़ॉर्म
nodejs
घटक
@fedify/fedify
में ठीक किया गया
1.9.7
1.10.1
2.0.1
2.1.1
2.0.9
2.1.1
1.9.6
CVE-2026-34148 @fedify/fedify में एक भेद्यता है जो HTTP रीडायरेक्ट को बार-बार फॉलो करने की अनुमति देती है, जिससे Denial of Service (DoS) हो सकता है। एक हमलावर दुर्भावनापूर्ण ActivityPub URL का उपयोग करके सर्वर को अत्यधिक बाहरी अनुरोध करने के लिए मजबूर कर सकता है, जिससे संसाधन समाप्त हो सकते हैं। यह भेद्यता @fedify/fedify के पुराने वर्ज़न को प्रभावित करती है, लेकिन वर्ज़न 1.9.6 में इसका समाधान किया गया है।
This vulnerability allows an attacker who controls a remote ActivityPub key or actor URL to induce a denial-of-service condition. By crafting a malicious URL with multiple redirects, the attacker can force the Fedify server to make numerous outbound requests in response to a single inbound request. This rapid sequence of requests can consume significant server resources, including CPU, memory, and network bandwidth, leading to performance degradation or complete service unavailability. The blast radius extends to any service relying on @fedify/fedify for ActivityPub verification, potentially impacting multiple users or downstream systems.
This CVE was publicly disclosed on 2026-04-07. There are currently no known public proof-of-concept exploits. The EPSS score is pending evaluation. It is not currently listed on the CISA KEV catalog.
Applications and services built using the @fedify/fedify Node.js package for ActivityPub verification are at risk. This includes Mastodon instances, decentralized social media platforms, and any system integrating ActivityPub functionality. Specifically, deployments relying on older versions of @fedify/fedify are most vulnerable.
• nodejs / server:
npm list @fedify/fedify• nodejs / server:
npm audit @fedify/fedify• nodejs / server: Check application logs for excessive outbound HTTP requests originating from ActivityPub verification processes. Look for patterns indicating repeated requests to the same or similar URLs. • nodejs / server: Monitor CPU and memory usage on the server. A sudden spike in resource consumption during ActivityPub verification could indicate exploitation.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
The primary mitigation is to upgrade to version 1.9.6 or later of the @fedify/fedify package. This version includes fixes to prevent the uncontrolled recursive redirect behavior. If upgrading is not immediately feasible, consider implementing a redirect limiting mechanism within your application. This could involve setting a maximum redirect count or implementing a visited-URL loop detection strategy to prevent excessive outbound requests. Additionally, configure your web server or proxy to limit the number of outbound requests per connection to mitigate the impact of a potential exploit.
Actualice la biblioteca fedify a la versión 1.9.6 o superior, 1.10.5 o superior, 2.0.8 o superior o 2.1.1 o superior para mitigar el riesgo de agotamiento de recursos y denegación de servicio debido a redirecciones ilimitadas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34148 @fedify/fedify में एक भेद्यता है जहाँ HTTP रीडायरेक्ट को बिना किसी सीमा के फॉलो किया जाता है, जिससे DoS हो सकता है। हमलावर सर्वर को अत्यधिक अनुरोध करने के लिए मजबूर कर सकते हैं।
यदि आप @fedify/fedify के वर्ज़न 1.9.6 से पहले का वर्ज़न उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हो सकते हैं। अपने वर्ज़न की जाँच करें और यदि आवश्यक हो तो अपडेट करें।
इस भेद्यता को ठीक करने के लिए, @fedify/fedify को वर्ज़न 1.9.6 या उसके बाद के वर्ज़न में अपडेट करें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।