关键漏洞信息 漏洞概述 类型: 不正确的身份验证和授权错误 CVE ID: CVE-2025-5488 严重性: 8.7/10 (高) 受影响版本: - @fedify/fedify (npm): <=1.8.4 - @fedify/fedify (JSR): <=1.8.4 修复版本: - @fedify/fedify (npm): 1.3.20, 1.4.13, 1.5.5, 1.6.8, 1.7.9, 1.8.5 - @fedify/fedify (JSR): 1.3.20, 1.4.13, 1.5.5, 1.6.8, 1.7.9, 1.8.5 描述 摘要: 身份验证绕过漏洞允许任何未认证的攻击者通过发送伪造活动并使用自己的密钥来冒充任何ActivityPub参与者。在验证签名密钥属于声明的参与者之前处理活动,从而实现对所有Fedify实例的完整参与者冒充。 详细信息: 漏洞存在于 函数中,关键问题在于操作顺序: 1. 第1712行调用 处理活动。 2. 第1730行进行身份验证检查( ),但在处理之后。 影响 类型: 身份验证绕过 / 参与者冒充 影响对象: 所有Fedify实例及其用户 后果: 允许对任何ActivityPub参与者的完整冒充,包括: - 以任何用户身份发送虚假帖子/消息 - 以任何用户身份创建/删除关注 - 以任何用户身份提升/共享内容 - 完全破坏联邦信任模型 PoC (概念验证) 1. 创建一个声称来自任意参与者的活动。 2. 使用攻击者的密钥(而非受害者的密钥)签署HTTP请求。 3. 发送到任何Fedify收件箱,尽管密钥不匹配,活动仍会被处理。 弱点 CWE-287: 错误的身份验证 CWE-863: 错误的授权