MEDIUMCVE-2026-33693CVSS 6.5

CVE-2026-33693 activitypub-federation-rust SSRF 漏洞，可访问内网

Q: CVE-2026-33693 是什么 — activitypub_federation 中的 SSRF？

SSRF (Server-Side Request Forgery) 是一种漏洞，它允许攻击者使服务器向攻击者控制的资源发送请求。这可能允许访问敏感数据或执行恶意代码。

Q: activitypub_federation 中的 CVE-2026-33693 是否会影响我？

此版本包含 CVE-2026-33693 的修复程序，从而降低了利用 SSRF 漏洞的风险。

Q: 如何修复 activitypub_federation 中的 CVE-2026-33693？

除了更新 Lemmy 之外，请审查您的网络配置、防火墙规则并监控服务器日志以查找可疑活动。

Q: CVE-2026-33693 是否正在被积极利用？

是的，所有使用 0.7.0-beta.9 之前的版本的 Lemmy 安装都容易受到此漏洞的影响。

Q: 在哪里可以找到 activitypub_federation 关于 CVE-2026-33693 的官方安全通告？

监控服务器日志中是否有对 localhost 或内部 IP 地址的异常请求。此外，请检查服务器配置是否有任何未经授权的更改。

平台

rust

组件

activitypub_federation

修复版本

0.7.1

0.7.0-beta.9

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-33693 描述了 activitypub-federation-rust 中的一个 SSRF 漏洞。该漏洞存在于 v4isinvalid() 函数中，该函数未检查 Ipv4Addr::UNSPECIFIED (0.0.0.0)。攻击者可以利用此漏洞访问目标服务器上的 localhost 服务。受影响版本为 0.7.0-beta.9 之前。该问题已在 0.7.0-beta.9 版本中得到修复，建议用户尽快升级。

影响与攻击场景

Lemmy 中的 CVE-2026-33693 与 activitypub-federation-rust 库相关，允许远程攻击者绕过为了修复 CVE-2025-25194 而实施的 SSRF（服务器端请求伪造）保护。v4isinvalid() 函数未能正确验证 IPv4 地址 0.0.0.0 (UNSPECIFIED)。攻击者可以操纵远程域名使其指向此地址，从而允许他们访问目标服务器上的本地服务，即使之前的 SSRF 保护措施已到位。这构成重大风险，因为它允许对通常未暴露于外部网络的内部服务进行未经授权的访问。

利用背景

攻击者需要控制一个可以用于向 Lemmy 发送请求的域名。通过将此域名配置为指向 0.0.0.0，攻击者可以欺骗 Lemmy 向其自己的 localhost 发送请求。由于 IP 地址验证存在缺陷，Lemmy 不会将此情况识别为无效，从而允许访问内部服务。无需身份验证即可利用此漏洞，这增加了其严重性。

哪些人处于风险中翻译中…

Organizations using activitypub-federation-rust in their applications, particularly those hosting instances that federate with other ActivityPub servers, are at risk. Systems with exposed localhost services and those relying on the previous fix for CVE-2025-25194 are especially vulnerable.

检测步骤翻译中…

• rust: Examine the src/utils.rs file for the v4isinvalid() function and verify that it correctly handles Ipv4Addr::UNSPECIFIED. • linux / server: Monitor system logs (journalctl) for unusual outbound connections to localhost originating from the activitypub-federation-rust process.

journalctl -u <activitypub-service-name> | grep '0.0.0.0'

• generic web: Use curl to test for SSRF by attempting to access internal services via the vulnerable endpoint.

curl -H "Host: internal-service" http://<vulnerable-host>/<vulnerable-endpoint>

攻击时间线

2026-03-25Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.06% (18% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件activitypub_federation

供应商osv

影响范围修复版本

< 0.7.0-beta.9 – < 0.7.0-beta.90.7.1

—0.7.0-beta.9

弱点分类 (CWE)

CWE-918

时间线

已保留2026-03-23
发布日期2026-03-25
修改日期2026-04-02
EPSS 更新日期2026-04-03

缓解措施和替代方案

此漏洞的解决方案是将 Lemmy 更新到 0.7.0-beta.9 或更高版本。此版本修复了 v4isinvalid() 函数，以包含 IPv4 地址 0.0.0.0 的验证。建议尽快应用此更新以降低被利用的风险。此外，请审查网络配置和防火墙规则，以确保仅允许来自受信任来源的必要服务访问。监控服务器日志以查找可疑活动也是推荐的做法。

修复方法

将 `activitypub-federation-rust` 库更新到 0.7.0-beta.9 或更高版本。此版本通过正确验证 IPv4 地址来修复 SSRF 漏洞。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33693 是什么 — activitypub_federation 中的 SSRF？