Platform
rust
Component
activitypub_federation
Opgelost in
0.7.1
0.7.0-beta.9
CVE-2026-33693 beschrijft een SSRF (Server-Side Request Forgery) kwetsbaarheid in activitypub-federation-rust. Een aanvaller kan een externe domeinnaam controleren en deze laten verwijzen naar 0.0.0.0, waardoor de SSRF-bescherming wordt omzeild. Dit kan leiden tot toegang tot localhost services. Versies ≤ 0.7.0-beta.9 zijn kwetsbaar. De issue is opgelost in versie 0.7.0-beta.9.
CVE-2026-33693 in Lemmy, gerelateerd aan de activitypub-federation-rust bibliotheek, stelt een externe aanvaller in staat om SSRF (Server-Side Request Forgery) beveiligingsmaatregelen te omzeilen die zijn geïmplementeerd om CVE-2025-25194 te verhelpen. De functie v4isinvalid() valideert het IPv4-adres 0.0.0.0 (UNSPECIFIED) niet correct. Een aanvaller kan een extern domein manipuleren om naar dit adres te wijzen, waardoor ze toegang krijgen tot lokale services op de doelserver, zelfs als de eerdere SSRF-beveiligingsmaatregelen aanwezig waren. Dit vormt een aanzienlijk risico, omdat het ongeautoriseerde toegang tot interne services mogelijk maakt die normaal gesproken niet aan het externe netwerk worden blootgesteld.
Een aanvaller heeft controle nodig over een domein dat kan worden gebruikt om verzoeken naar Lemmy te sturen. Door dit domein te configureren om naar 0.0.0.0 te wijzen, kan de aanvaller Lemmy misleiden om verzoeken naar zijn eigen localhost te sturen. Omdat de IP-adresvalidatie defect is, detecteert Lemmy deze situatie niet als ongeldig, waardoor toegang tot interne services mogelijk is. Authenticatie is niet vereist om deze kwetsbaarheid te misbruiken, wat de ernst ervan vergroot.
Organizations using activitypub-federation-rust in their applications, particularly those hosting instances that federate with other ActivityPub servers, are at risk. Systems with exposed localhost services and those relying on the previous fix for CVE-2025-25194 are especially vulnerable.
• rust: Examine the src/utils.rs file for the v4isinvalid() function and verify that it correctly handles Ipv4Addr::UNSPECIFIED.
• linux / server: Monitor system logs (journalctl) for unusual outbound connections to localhost originating from the activitypub-federation-rust process.
journalctl -u <activitypub-service-name> | grep '0.0.0.0'• generic web: Use curl to test for SSRF by attempting to access internal services via the vulnerable endpoint.
curl -H "Host: internal-service" http://<vulnerable-host>/<vulnerable-endpoint>disclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om Lemmy te updaten naar versie 0.7.0-beta.9 of hoger. Deze versie corrigeert de functie v4isinvalid() om de validatie van het IPv4-adres 0.0.0.0 op te nemen. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen om het risico op misbruik te verminderen. Controleer bovendien netwerkconfiguraties en firewallregels om ervoor te zorgen dat alleen noodzakelijke services toegankelijk zijn vanaf vertrouwde bronnen. Het monitoren van serverlogs op verdachte activiteiten wordt ook aanbevolen.
Update de bibliotheek `activitypub-federation-rust` naar versie 0.7.0-beta.9 of hoger. Deze versie corrigeert de SSRF-kwetsbaarheid door IPv4-adressen correct te valideren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SSRF (Server-Side Request Forgery) is een kwetsbaarheid die een aanvaller in staat stelt de server te laten verzoeken naar resources die de aanvaller controleert. Dit kan toegang tot gevoelige gegevens of de uitvoering van kwaadaardige code mogelijk maken.
Deze versie bevat de correctie voor CVE-2026-33693, die het risico op misbruik van de SSRF-kwetsbaarheid vermindert.
Naast het updaten van Lemmy, moet u uw netwerkconfiguratie, firewallregels controleren en serverlogs monitoren op verdachte activiteiten.
Ja, alle Lemmy-installaties die versies gebruiken vóór 0.7.0-beta.9 zijn kwetsbaar voor deze kwetsbaarheid.
Controleer serverlogs op ongebruikelijke verzoeken naar localhost of interne IP-adressen. Controleer ook de serverconfiguratie op ongeautoriseerde wijzigingen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Cargo.lock-bestand en we vertellen je direct of je getroffen bent.