Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CVE-2026-42462

PUBLISHED 11.06.2026

CNA: GitHub_M

Fedify has an LD-Signature Bypass via JSON-LD Named-Graph Restructuring

Обновлено: 10.06.2026
Fedify is a TypeScript library for building federated server apps powered by ActivityPub. Prior to versions 1.9.11, 1.10.10, 2.0.18, 2.1.14, and 2.2.3, an attacker can make use of JSON-LD features to restructure a JSON-LD document that would change how Fedify interprets it without changing its Linked Data Signature, allowing them to alter a third-party signed activity they have received. Versions 1.9.11, 1.10.10, 2.0.18, 2.1.14, and 2.2.3 fix the issue.

CWE

Идентификатор Описание
CWE-1289 The product receives an input value that is used as a resource identifier or other type of reference, but it does not validate or incorrectly validates that the input is equivalent to a potentially-unsafe value.
CWE-180 The product validates input before it is canonicalized, which prevents the product from detecting data that becomes invalid after the canonicalization step.
CWE-347 The product does not verify, or incorrectly verifies, the cryptographic signature for data.
CWE-436 Product A handles inputs or steps differently than Product B, which causes A to perform incorrect actions based on its perception of B's state.

CVSS

Оценка Severity Версия Базовый вектор
7 HIGH 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:L

Доп. Информация

Product Status

fedify
Product: fedify
Vendor: fedify-dev
Default status: Не определен
Версии:
Затронутые версии Статус
Наблюдалось в версии >= 2.2.0, < 2.2.3 affected
Наблюдалось в версии >= 2.1.0, < 2.1.14 affected
Наблюдалось в версии >= 2.0.0, < 2.0.18 affected
Наблюдалось в версии >= 1.10.0, < 1.10.10 affected
Наблюдалось в версии < 1.9.11 affected
 

Ссылки

CISA ADP Vulnrichment

Обновлено: 11.06.2026
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no partial 2.0.3 11.06.2026

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.