Vulnerabilidad en Fedify (CVE-2025-23221)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/01/2025

Última modificación:

20/01/2025

Descripción

Fedify es una librería de TypeScript para crear aplicaciones de servidor federado basadas en ActivityPub y otros estándares. Esta vulnerabilidad permite a un usuario manipular el mecanismo Webfinger para realizar una solicitud GET a cualquier recurso interno en cualquier combinación de host, puerto y URL, independientemente de los mecanismos de seguridad actuales, y obligar al servidor de la víctima a entrar en un bucle infinito que provoca una denegación de servicio. Además, este problema también se puede manipular para realizar un ataque SSRF ciego. Esta vulnerabilidad se ha corregido en 1.0.14, 1.1.11, 1.2.11 y 1.3.4.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

5.40

Gravedad 3.x

MEDIA

Vulnerabilidad en Fedify (CVE-2025-23221)

Descripción

Impacto

Referencias a soluciones, herramientas e información