chaitanyagarware/CVE-2026-50131
GitHub: chaitanyagarware/CVE-2026-50131
记录并汇总 Fedify 框架中 validatePublicUrl() SSRF 缓解措施不完整漏洞的公告着陆页,提供受影响版本范围、修复版本及权威数据库链接。
Stars: 1 | Forks: 0
# CVE-2026-50131
Fedify 在 `GHSA-p9cg-vqcc-grcx` 之后的 SSRF 缓解措施不完整:`validatePublicUrl()` 允许了特殊用途的 IPv4 范围。
**主要公告:** [GHSA-xw9q-2mv6-9fr8](https://github.com/fedify-dev/fedify/security/advisories/GHSA-xw9q-2mv6-9fr8)
**官方 CVE 记录:** [CVE-2026-50131](https://www.cve.org/CVERecord?id=CVE-2026-50131)
**研究员鸣谢:** [@chaitanyagarware](https://github.com/chaitanyagarware)
## 概览
| 字段 | 值 |
| --- | --- |
| CVE | `CVE-2026-50131` |
| GHSA | `GHSA-xw9q-2mv6-9fr8` |
| 项目 | `fedify-dev/fedify` |
| 包 | `@fedify/fedify`, `@fedify/vocab-runtime` |
| 生态系统 | npm, JSR |
| 严重程度 | 高 |
| CVSS | 8.6, `CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L` |
| 弱点 | `CWE-918`, `CWE-1286`, `CWE-1389` |
| 发布日期 | GitHub 公告: 2026-06-08; CVE.org: 2026-06-10 |
| NVD 状态 | 已存在,截至 2026-07-09 处于 `Deferred` |
| OSV 状态 | 已存在 |
## 摘要
Fedify 此前添加了公共 URL 验证,以缓解 SSRF 和内部网络访问。后续问题在于,IPv4 验证逻辑仍然将多个特殊用途、保留、多播、基准测试、文档和运营商级 NAT 范围视为公共目标。
由于 `validatePublicUrl()` 在进行出站 ActivityPub 文档和媒体获取之前被使用,这种不完整的 IP 分类可能会绕过预期的 SSRF 保护边界。
## 受影响版本
| 产品 | 受影响 |
| --- | --- |
| `@fedify/fedify` | `>= 0.11.2, < 1.9.12`; `>= 1.10.0, < 1.10.11`; `>= 2.0.0, < 2.0.19`; `>= 2.1.0, < 2.1.15`; `>= 2.2.0, < 2.2.4` |
| `@fedify/vocab-runtime` | `< 2.0.19`; `>= 2.1.0, < 2.1.15`; `>= 2.2.0, < 2.2.4` |
## 已修复版本
| 产品 | 已修复 |
| --- | --- |
| `@fedify/fedify` | `1.9.12`, `1.10.11`, `2.0.19`, `2.1.15`, `2.2.4` |
| `@fedify/vocab-runtime` | `2.0.19`, `2.1.15`, `2.2.4` |
## 公共数据库覆盖情况
| 来源 | 状态 | 链接 |
| --- | --- | --- |
| GitHub 仓库公告 | 已发布 | [GHSA-xw9q-2mv6-9fr8](https://github.com/fedify-dev/fedify/security/advisories/GHSA-xw9q-2mv6-9fr8) |
| CVE.org / CVE Services | 已发布 | [CVE-2026-50131](https://www.cve.org/CVERecord?id=CVE-2026-50131) |
| NVD | 已存在,Deferred | [NVD 详情](https://nvd.nist.gov/vuln/detail/CVE-2026-50131) |
| OSV | 已存在 | [OSV 记录](https://osv.dev/vulnerability/CVE-2026-50131) |
| CVEProject cvelistV5 | 已存在 | [cvelistV5 JSON](https://github.com/CVEProject/cvelistV5/blob/main/cves/2026/50xxx/CVE-2026-50131.json) |
| CISA Vulnrichment | 已存在 | [vulnrichment JSON](https://github.com/cisagov/vulnrichment/blob/develop/2026/50xxx/CVE-2026-50131.json) |
## 发现的其他公开提及
- `fedify-dev/fedify` 更新日志引用了 `GHSA-xw9q-2mv6-9fr8`。
- `fedify-dev/hollo` 和 `fedify-dev/botkit` 更新日志引用了相同的公告,因为它们使用了 Fedify 包。
- `Patrowl/PatrowlHearsData` 镜像了此 ID 的 CVE 和 SSVC 数据。
- `sec-dojo-com/cve-poc` 有一个关于 `CVE-2026-50131` 的公开页面。
## 披露说明
本仓库是一个公开的索引和作品集着陆页。它有意总结了该漏洞并链接到权威记录,而不是复制完整的概念验证漏洞利用脚本。
标签:ActivityPub, CISA项目, CVE, SSRF, TypeScript, Web框架, 安全插件, 安全漏洞, 数字签名, 暗色界面