Lemmy の Activitypub-Federation は、activitypub-federation-rust v4_is_invalid() で 0.0.0.0 バイパスを介して SSRF を実行可能

Lemmy の CVE-2026-33693 は、activitypub-federation-rust ライブラリに関連しており、CVE-2025-25194 を修正するために実装された SSRF (Server-Side Request Forgery) 保護を回避することをリモート攻撃者に許可します。v4isinvalid() 関数は IPv4 アドレス 0.0.0.0 (UNSPECIFIED) を正しく検証しません。攻撃者はリモートドメインをこのアドレスを指すように操作し、以前の SSRF 保護が有効になっている場合でも、ターゲットサーバーのローカルサービスにアクセスできるようになります。これは重大なリスクをもたらします。なぜなら、通常は外部ネットワークに公開されていない内部サービスへの不正アクセスを可能にするからです。

Organizations using activitypub-federation-rust in their applications, particularly those hosting instances that federate with other ActivityPub servers, are at risk. Systems with exposed localhost services and those relying on the previous fix for CVE-2025-25194 are especially vulnerable.

• rust: Examine the src/utils.rs file for the v4isinvalid() function and verify that it correctly handles Ipv4Addr::UNSPECIFIED. • linux / server: Monitor system logs (journalctl) for unusual outbound connections to localhost originating from the activitypub-federation-rust process.

journalctl -u <activitypub-service-name> | grep '0.0.0.0'

• generic web: Use curl to test for SSRF by attempting to access internal services via the vulnerable endpoint.

curl -H "Host: internal-service" http://<vulnerable-host>/<vulnerable-endpoint>

1. 2026-03-25Disclosure

   disclosure

1. 予約済み2026-03-23
2. 公開日2026-03-25
3. 更新日2026-04-02
4. EPSS 更新日2026-04-03

この脆弱性の解決策は、Lemmy をバージョン 0.7.0-beta.9 以降に更新することです。このバージョンは、v4isinvalid() 関数を修正し、IPv4 アドレス 0.0.0.0 の検証を含めます。悪用のリスクを軽減するために、できるだけ早くこの更新を適用することをお勧めします。さらに、ネットワーク構成とファイアウォールルールを確認して、信頼できるソースからの必要なサービスのみがアクセス可能であることを確認してください。サーバーログを不審なアクティビティがないか監視することも推奨されます。