Plataforma
rust
Componente
activitypub_federation
Corrigido em
0.7.1
0.7.0-beta.9
A vulnerabilidade CVE-2026-33693 é um ataque do tipo SSRF (Server-Side Request Forgery) que afeta a biblioteca activitypub-federation-rust. Essa falha permite que um invasor, controlando um domínio remoto, acesse serviços locais no servidor. As versões afetadas são aquelas iguais ou anteriores a 0.7.0-beta.9. A correção foi implementada na versão 0.7.0-beta.9.
A vulnerabilidade CVE-2026-33693 no Lemmy, relacionada com a biblioteca activitypub-federation-rust, permite a um atacante remoto contornar as proteções de SSRF (Server-Side Request Forgery) implementadas para corrigir CVE-2025-25194. A função v4isinvalid() não valida corretamente o endereço IPv4 0.0.0.0 (UNSPECIFIED). Um atacante pode manipular um domínio remoto para apontar para este endereço, permitindo-lhe aceder a serviços locais no servidor alvo, mesmo que as proteções SSRF anteriores estivessem em vigor. Isto representa um risco significativo, pois permite o acesso não autorizado a serviços internos que normalmente não estão expostos à rede externa.
Um atacante precisa de controlar um domínio que possa ser usado para fazer pedidos ao Lemmy. Ao configurar este domínio para apontar para 0.0.0.0, o atacante pode enganar o Lemmy para que faça pedidos ao seu próprio localhost. Uma vez que a validação do endereço IP está com defeito, o Lemmy não deteta esta situação como inválida, permitindo o acesso a serviços internos. A autenticação não é necessária para explorar esta vulnerabilidade, o que aumenta a sua gravidade.
Organizations using activitypub-federation-rust in their applications, particularly those hosting instances that federate with other ActivityPub servers, are at risk. Systems with exposed localhost services and those relying on the previous fix for CVE-2025-25194 are especially vulnerable.
• rust: Examine the src/utils.rs file for the v4isinvalid() function and verify that it correctly handles Ipv4Addr::UNSPECIFIED.
• linux / server: Monitor system logs (journalctl) for unusual outbound connections to localhost originating from the activitypub-federation-rust process.
journalctl -u <activitypub-service-name> | grep '0.0.0.0'• generic web: Use curl to test for SSRF by attempting to access internal services via the vulnerable endpoint.
curl -H "Host: internal-service" http://<vulnerable-host>/<vulnerable-endpoint>disclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o Lemmy para a versão 0.7.0-beta.9 ou superior. Esta versão corrige a função v4isinvalid() para incluir a validação do endereço IPv4 0.0.0.0. Recomenda-se aplicar esta atualização o mais rapidamente possível para mitigar o risco de exploração. Além disso, recomenda-se rever a configuração de rede e as regras de firewall para garantir que apenas o acesso aos serviços necessários é permitido a partir de fontes confiáveis. Monitorizar os registos do servidor em busca de atividade suspeita também é uma prática recomendada.
Atualize a biblioteca `activitypub-federation-rust` para a versão 0.7.0-beta.9 ou superior. Esta versão corrige a vulnerabilidade SSRF ao validar corretamente os endereços IPv4.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
SSRF (Server-Side Request Forgery) é uma vulnerabilidade que permite a um atacante fazer com que o servidor faça pedidos a recursos que o atacante controla. Isto pode permitir o acesso a dados sensíveis ou a execução de código malicioso.
Esta versão contém a correção para CVE-2026-33693, que mitiga o risco de exploração da vulnerabilidade SSRF.
Além de atualizar o Lemmy, revise a sua configuração de rede, regras de firewall e monitore os registos do servidor em busca de atividade suspeita.
Sim, todas as instalações do Lemmy que utilizem versões anteriores a 0.7.0-beta.9 são vulneráveis a esta vulnerabilidade.
Monitore os registos do servidor em busca de pedidos incomuns para localhost ou para endereços IP internos. Além disso, revise a configuração do servidor para detetar quaisquer alterações não autorizadas.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Cargo.lock e descubra na hora se você está afetado.