chaitanyagarware/CVE-2026-50131

GitHub: chaitanyagarware/CVE-2026-50131

记录并汇总 Fedify 框架中 validatePublicUrl() SSRF 缓解措施不完整漏洞的公告着陆页,提供受影响版本范围、修复版本及权威数据库链接。

Stars: 1 | Forks: 0

# CVE-2026-50131 Fedify 在 `GHSA-p9cg-vqcc-grcx` 之后的 SSRF 缓解措施不完整:`validatePublicUrl()` 允许了特殊用途的 IPv4 范围。 **主要公告:** [GHSA-xw9q-2mv6-9fr8](https://github.com/fedify-dev/fedify/security/advisories/GHSA-xw9q-2mv6-9fr8) **官方 CVE 记录:** [CVE-2026-50131](https://www.cve.org/CVERecord?id=CVE-2026-50131) **研究员鸣谢:** [@chaitanyagarware](https://github.com/chaitanyagarware) ## 概览 | 字段 | 值 | | --- | --- | | CVE | `CVE-2026-50131` | | GHSA | `GHSA-xw9q-2mv6-9fr8` | | 项目 | `fedify-dev/fedify` | | 包 | `@fedify/fedify`, `@fedify/vocab-runtime` | | 生态系统 | npm, JSR | | 严重程度 | 高 | | CVSS | 8.6, `CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L` | | 弱点 | `CWE-918`, `CWE-1286`, `CWE-1389` | | 发布日期 | GitHub 公告: 2026-06-08; CVE.org: 2026-06-10 | | NVD 状态 | 已存在,截至 2026-07-09 处于 `Deferred` | | OSV 状态 | 已存在 | ## 摘要 Fedify 此前添加了公共 URL 验证,以缓解 SSRF 和内部网络访问。后续问题在于,IPv4 验证逻辑仍然将多个特殊用途、保留、多播、基准测试、文档和运营商级 NAT 范围视为公共目标。 由于 `validatePublicUrl()` 在进行出站 ActivityPub 文档和媒体获取之前被使用,这种不完整的 IP 分类可能会绕过预期的 SSRF 保护边界。 ## 受影响版本 | 产品 | 受影响 | | --- | --- | | `@fedify/fedify` | `>= 0.11.2, < 1.9.12`; `>= 1.10.0, < 1.10.11`; `>= 2.0.0, < 2.0.19`; `>= 2.1.0, < 2.1.15`; `>= 2.2.0, < 2.2.4` | | `@fedify/vocab-runtime` | `< 2.0.19`; `>= 2.1.0, < 2.1.15`; `>= 2.2.0, < 2.2.4` | ## 已修复版本 | 产品 | 已修复 | | --- | --- | | `@fedify/fedify` | `1.9.12`, `1.10.11`, `2.0.19`, `2.1.15`, `2.2.4` | | `@fedify/vocab-runtime` | `2.0.19`, `2.1.15`, `2.2.4` | ## 公共数据库覆盖情况 | 来源 | 状态 | 链接 | | --- | --- | --- | | GitHub 仓库公告 | 已发布 | [GHSA-xw9q-2mv6-9fr8](https://github.com/fedify-dev/fedify/security/advisories/GHSA-xw9q-2mv6-9fr8) | | CVE.org / CVE Services | 已发布 | [CVE-2026-50131](https://www.cve.org/CVERecord?id=CVE-2026-50131) | | NVD | 已存在,Deferred | [NVD 详情](https://nvd.nist.gov/vuln/detail/CVE-2026-50131) | | OSV | 已存在 | [OSV 记录](https://osv.dev/vulnerability/CVE-2026-50131) | | CVEProject cvelistV5 | 已存在 | [cvelistV5 JSON](https://github.com/CVEProject/cvelistV5/blob/main/cves/2026/50xxx/CVE-2026-50131.json) | | CISA Vulnrichment | 已存在 | [vulnrichment JSON](https://github.com/cisagov/vulnrichment/blob/develop/2026/50xxx/CVE-2026-50131.json) | ## 发现的其他公开提及 - `fedify-dev/fedify` 更新日志引用了 `GHSA-xw9q-2mv6-9fr8`。 - `fedify-dev/hollo` 和 `fedify-dev/botkit` 更新日志引用了相同的公告,因为它们使用了 Fedify 包。 - `Patrowl/PatrowlHearsData` 镜像了此 ID 的 CVE 和 SSVC 数据。 - `sec-dojo-com/cve-poc` 有一个关于 `CVE-2026-50131` 的公开页面。 ## 披露说明 本仓库是一个公开的索引和作品集着陆页。它有意总结了该漏洞并链接到权威记录,而不是复制完整的概念验证漏洞利用脚本。
标签:ActivityPub, CISA项目, CVE, SSRF, TypeScript, Web框架, 安全插件, 安全漏洞, 数字签名, 暗色界面