一、 漏洞 CVE-2024-39687 基础信息
漏洞标题
Fedify可能允许访问内部网络资源,从而存在安全风险
来源:AIGC 神龙大模型
漏洞描述信息
Fedify是一个使用ActivityPub和其他标准为构建联邦服务器应用程序供电的TypeScript库。目前,当Fedify需要从远程活动Pub服务器检索对象或活动时,它会向其接收到的网络中活动内的`@id`或其他资源发起HTTP请求。这项活动可能引用一个指向内部IP地址的`@id`,这将允许攻击者向Fedify服务器网络内部的资源发送请求。这不仅适用于活动或对象所包含的文档的解析,也适用于媒体URL。具体来说,这是一次服务器端请求伪造攻击。用户应升级到Fedify版本0.9.2、0.10.1或0.11.1以获取此问题的补丁。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
服务端请求伪造(SSRF)
来源:AIGC 神龙大模型
漏洞标题
Fedify vulnerable to allowing access to internal network resources
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Fedify is a TypeScript library for building federated server apps powered by ActivityPub and other standards. At present, when Fedify needs to retrieve an object or activity from a remote activitypub server, it makes a HTTP request to the `@id` or other resources present within the activity it has received from the web. This activity could reference an `@id` that points to an internal IP address, allowing an attacker to send request to resources internal to the fedify server's network. This applies to not just resolution of documents containing activities or objects, but also to media URLs as well. Specifically this is a Server Side Request Forgery attack. Users should upgrade to Fedify version 0.9.2, 0.10.1, or 0.11.1 to receive a patch for this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
服务端请求伪造(SSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Fedify 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Fedify是Hong Minhee个人开发者的一个 TypeScript 库。用于构建由 ActivityPub 和其他标准支持的联邦服务器应用程序。 Fedify 0.11.0及之前版本存在安全漏洞,该漏洞源于容易受到服务器端请求伪造攻击,允许攻击者向服务器网络内部的资源发送请求。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-39687 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-39687 的情报信息