CVE-2026-34148

Nome do Software Vulnerável e Versões Afetadas: Fedify versões anteriores a 1.9.6, 1.10.5, 2.0.8 e 2.1.1

Descrição: O Fedify não impõe um limite máximo de redirecionamentos ou detecção de loops de URL visitados ao seguir redirecionamentos HTTP em seus carregadores de documentos remotos e autenticados. Um invasor que controla uma chave ActivityPub remota ou URL de ator pode explorar isso para forçar o servidor a fazer solicitações de saída repetidas a partir de uma única solicitação de entrada, levando ao consumo de recursos e negação de serviço. O problema ocorre porque o carregador de documentos segue recursivamente as respostas 3xx sem um limite de redirecionamento ou detecção de loop. As buscas de chave com falha não são armazenadas em cache negativamente de forma durável, permitindo a exploração repetida. Uma prova de conceito demonstra que uma única solicitação pode acionar centenas de solicitações de saída por meio de auto-redirecionamentos.

Recomendações: Atualize para a versão 1.9.6, 1.10.5, 2.0.8 ou 2.1.1 do Fedify.