Fedify — это библиотека TypeScript для создания интегрированных серверных приложений на базе ActivityPub. До версий 1.9.6, 1.10.5, 2.0.8 и 2.1.1 @fedify/fedify рекурсивно следует за перенаправлениями HTTP в своем удаленном загрузчике документов и загрузчике аутентифицированных документов, не устанавливая максимального количества перенаправлений или обнаружения циклов посещенных URL-адресов. Злоумышленник, контролирующий удаленный ключ ActivityPub или URL-адрес субъекта, может заставить сервер, использующий Fedify, выполнять повторные исходящие запросы из одного входящего запроса, что приведет к потреблению ресурсов и отказу в обслуживании.
Эта уязвимость исправлена в версиях 1.9.6, 1.10.5, 2.0.8 и 2.1.1.
Показать оригинальное описание (EN)
Fedify is a TypeScript library for building federated server apps powered by ActivityPub. Prior to 1.9.6, 1.10.5, 2.0.8, and 2.1.1, @fedify/fedify follows HTTP redirects recursively in its remote document loader and authenticated document loader without enforcing a maximum redirect count or visited-URL loop detection. An attacker who controls a remote ActivityPub key or actor URL can force a server using Fedify to make repeated outbound requests from a single inbound request, leading to resource consumption and denial of service. This vulnerability is fixed in 1.9.6, 1.10.5, 2.0.8, and 2.1.1.
Характеристики атаки
Последствия
Строка CVSS v3.1