Lemmy's Activitypub-Federation has SSRF via 0.0.0.0 bypass in activitypub-federation-rust v4_is_invalid()
Platform
rust
Component
activitypub_federation
Opgelost in
0.7.1
0.7.0-beta.9
CVE-2026-33693 beschrijft een SSRF (Server-Side Request Forgery) kwetsbaarheid in activitypub-federation-rust. Een aanvaller kan een externe domeinnaam controleren en deze laten verwijzen naar 0.0.0.0, waardoor de SSRF-bescherming wordt omzeild. Dit kan leiden tot toegang tot localhost services. Versies ≤ 0.7.0-beta.9 zijn kwetsbaar. De issue is opgelost in versie 0.7.0-beta.9.
Detecteer deze CVE in je project
Upload je Cargo.lock-bestand en we vertellen je direct of je getroffen bent.
Impact en Aanvalsscenarios
CVE-2026-33693 in Lemmy, gerelateerd aan de activitypub-federation-rust bibliotheek, stelt een externe aanvaller in staat om SSRF (Server-Side Request Forgery) beveiligingsmaatregelen te omzeilen die zijn geïmplementeerd om CVE-2025-25194 te verhelpen. De functie v4isinvalid() valideert het IPv4-adres 0.0.0.0 (UNSPECIFIED) niet correct. Een aanvaller kan een extern domein manipuleren om naar dit adres te wijzen, waardoor ze toegang krijgen tot lokale services op de doelserver, zelfs als de eerdere SSRF-beveiligingsmaatregelen aanwezig waren. Dit vormt een aanzienlijk risico, omdat het ongeautoriseerde toegang tot interne services mogelijk maakt die normaal gesproken niet aan het externe netwerk worden blootgesteld.
Uitbuitingscontext
Een aanvaller heeft controle nodig over een domein dat kan worden gebruikt om verzoeken naar Lemmy te sturen. Door dit domein te configureren om naar 0.0.0.0 te wijzen, kan de aanvaller Lemmy misleiden om verzoeken naar zijn eigen localhost te sturen. Omdat de IP-adresvalidatie defect is, detecteert Lemmy deze situatie niet als ongeldig, waardoor toegang tot interne services mogelijk is. Authenticatie is niet vereist om deze kwetsbaarheid te misbruiken, wat de ernst ervan vergroot.
Wie Loopt Risicowordt vertaald…
Organizations using activitypub-federation-rust in their applications, particularly those hosting instances that federate with other ActivityPub servers, are at risk. Systems with exposed localhost services and those relying on the previous fix for CVE-2025-25194 are especially vulnerable.
Detectiestappenwordt vertaald…
• rust: Examine the src/utils.rs file for the v4isinvalid() function and verify that it correctly handles Ipv4Addr::UNSPECIFIED.
• linux / server: Monitor system logs (journalctl) for unusual outbound connections to localhost originating from the activitypub-federation-rust process.
journalctl -u <activitypub-service-name> | grep '0.0.0.0'• generic web: Use curl to test for SSRF by attempting to access internal services via the vulnerable endpoint.
curl -H "Host: internal-service" http://<vulnerable-host>/<vulnerable-endpoint>Aanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Laag — gedeeltelijke toegang tot enkele gegevens.
- Integrity
- Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De oplossing voor deze kwetsbaarheid is om Lemmy te updaten naar versie 0.7.0-beta.9 of hoger. Deze versie corrigeert de functie v4isinvalid() om de validatie van het IPv4-adres 0.0.0.0 op te nemen. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen om het risico op misbruik te verminderen. Controleer bovendien netwerkconfiguraties en firewallregels om ervoor te zorgen dat alleen noodzakelijke services toegankelijk zijn vanaf vertrouwde bronnen. Het monitoren van serverlogs op verdachte activiteiten wordt ook aanbevolen.
Hoe te verhelpen
Update de bibliotheek `activitypub-federation-rust` naar versie 0.7.0-beta.9 of hoger. Deze versie corrigeert de SSRF-kwetsbaarheid door IPv4-adressen correct te valideren.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragen
Wat is CVE-2026-33693 — SSRF in activitypub_federation?
SSRF (Server-Side Request Forgery) is een kwetsbaarheid die een aanvaller in staat stelt de server te laten verzoeken naar resources die de aanvaller controleert. Dit kan toegang tot gevoelige gegevens of de uitvoering van kwaadaardige code mogelijk maken.
Ben ik getroffen door CVE-2026-33693 in activitypub_federation?
Deze versie bevat de correctie voor CVE-2026-33693, die het risico op misbruik van de SSRF-kwetsbaarheid vermindert.
Hoe los ik CVE-2026-33693 in activitypub_federation op?
Naast het updaten van Lemmy, moet u uw netwerkconfiguratie, firewallregels controleren en serverlogs monitoren op verdachte activiteiten.
Wordt CVE-2026-33693 actief misbruikt?
Ja, alle Lemmy-installaties die versies gebruiken vóór 0.7.0-beta.9 zijn kwetsbaar voor deze kwetsbaarheid.
Waar vind ik het officiële activitypub_federation-beveiligingsadvies voor CVE-2026-33693?
Controleer serverlogs op ongebruikelijke verzoeken naar localhost of interne IP-adressen. Controleer ook de serverconfiguratie op ongeautoriseerde wijzigingen.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.