中危 Fedify 存在允许访问内部网络资源的漏洞(CVE-2024-39687)
CVE编号
CVE-2024-39687利用情况
暂无补丁情况
官方补丁披露时间
2024-07-06漏洞描述
Fedify是一个使用ActivityPub和其他标准构建联邦服务器应用程序的TypeScript库。目前,当Fedify需要从远程的ActivityPub服务器检索对象或活动时,它会向从网络收到的活动中存在的`@id`或其他资源发送HTTP请求。此活动可能会引用指向内部IP地址的`@id`,这使得攻击者可以向fedify服务器网络内部的资源发送请求。这不仅适用于活动或对象文档的解析,也适用于媒体URL。具体来说,这是一种服务器端请求伪造攻击。用户应该升级到Fedify版本0.9.2、0.10.1或0.11.1,以获取此问题的补丁。解决建议
"将组件 @fedify/fedify 升级至 0.9.2 及以上版本"- 攻击路径 本地
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 越权影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
CWE-ID | 漏洞类型 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论