CVE-2026-33693 in activitypub_federationinformación

Resumen

por VulDB • 2026-05-18

Lemmy es un agregador de enlaces y foro para el fediverso. Antes de la versión 0.7.0-beta.9, la función `v4_is_invalid()` en `activitypub-federation-rust` (`src/utils.rs`) no verifica `Ipv4Addr::UNSPECIFIED` (0.0.0.0). Un atacante no autenticado que controle un dominio remoto puede apuntarlo a 0.0.0.0, eludir la protección SSRF introducida por la corrección de CVE-2025-25194 (GHSA-7723-35v7-qcxw) y acceder a los servicios de localhost en el servidor objetivo. La versión 0.7.0-beta.9 corrige el problema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgación

2026-03-27

Moderación

aceptado

Artículo

VDB-353513

CPE

listo

EPSS

0.00023

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33693
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33693
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33693/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!