CVE-2024-39687

Versões do Fedify anteriores à 0.9.2, 0.10.1 ou 0.11.1

O problema está relacionado a um ataque do tipo Server Side Request Forgery (SSRF). Quando o Fedify precisa recuperar um objeto ou atividade de um servidor ActivityPub remoto, ele faz uma solicitação HTTP para o @id ou outros recursos presentes na atividade que recebeu da web. Essa atividade pode fazer referência a um @id que aponta para um endereço IP interno, permitindo que um invasor envie solicitações para recursos internos à rede do servidor Fedify. Isso se aplica não apenas à resolução de documentos contendo atividades ou objetos, mas também a URLs de mídia.

Para resolver o problema, os usuários devem atualizar para a versão 0.9.2, 0.10.1 ou 0.11.1 do Fedify para receber uma correção para esta vulnerabilidade.

Como solução alternativa temporária, considere restringir o acesso a endereços IP internos para minimizar o risco de exploração.

Restrinja o acesso à API fetch para impedir solicitações não autorizadas a recursos internos.

Evite usar o parâmetro @id no endpoint da API afetado até que o problema seja resolvido.