CVE-2026-42180

Nome do Software Vulnerável e Versões Afetadas Lemmy versões anteriores a 0.19.18

Descrição Um usuário autenticado de baixo privilégio pode disparar requisições HTTP do lado do servidor para serviços internos. Isso ocorre quando um usuário cria uma postagem de link em uma comunidade pública através do endpoint "POST /api/v3/post". O backend envia assincronamente um Webmention para o link de destino, mas o sistema não rejeita destinos de loopback, privados ou locais ao link. A variável url é validada quanto à sintaxe e ao esquema usando a função is valid url(), mas não implementa a rejeição de endereços internos, permitindo que o servidor da aplicação seja usado como um primitivo de Server-Side Request Forgery (SSRF) cego. SSRF é uma falha onde um invasor pode forçar um servidor a fazer requisições para um local não pretendido, frequentemente ignorando controles de segurança de rede para alcançar sistemas internos.

Recomendações Atualizar para a versão 0.19.18.