CVE-2026-34148 in vocab-runtime
Zusammenfassung
von VulDB • 08.06.2026
Fedify ist eine TypeScript-Bibliothek zum Erstellen federierter Serveranwendungen, die auf ActivityPub basiert. Vor den Versionen 1.9.6, 1.10.5, 2.0.8 und 2.1.1 folgt @fedify/fedify HTTP-Weiterleitungen rekursiv in seinem Remote-Dokumentenlader und Authentifizierten-Dokumentenlader, ohne eine maximale Anzahl von Weiterleitungen oder eine Erkennung von Schleifen besuchter URLs durchzusetzen. Ein Angreifer, der eine Remote-ActivityPub-Schlüssel- oder Actor-URL kontrolliert, kann einen Fedify-Server dazu zwingen, wiederholt ausgehende Anfragen von einer einzelnen eingehenden Anfrage aus zu stellen, was zu Ressourcenverbrauch und einem Denial of Service (DoS) führt. Diese Schwachstelle wurde in den Versionen 1.9.6, 1.10.5, 2.0.8 und 2.1.1 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.