发布日期：2025-08-08
更新日期：2025-12-25

受影响系统：

Fedify Fedify >= 1.8.0-dev.909 <= 1.8.4
Fedify Fedify >= 1.7.0-pr.251.885 <= 1.7.8
Fedify Fedify >= 1.6.0-dev.754 <= 1.6.7
Fedify Fedify >= 1.5.0-dev.636 <= 1.5.4
Fedify Fedify >= 1.4.0-dev.585 <= 1.4.12

描述：

---

CVE(CAN) ID: CVE-2025-54888

Fedify是Hong Minhee个人开发者的一个TypeScript库，用于构建由ActivityPub和其他标准支持的联邦服务器应用程序。
Fedify 1.3.20之前版本、1.4.0-dev.585至1.4.12版本、1.5.0-dev.636至1.5.4版本、1.6.0-dev.754至1.6.7版本、1.7.0-pr.251.885至1.7.8版本、1.8.0-dev.909至1.8.4版本存在身份认证绕过漏洞，未经身份认证的攻击者可利用该漏洞通过发送用自己密钥签名的伪造活动冒充任意用户，从而绕过认证措施。

<**>

建议：

---

厂商补丁：

Fedify
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/fedify-dev/fedify/security/advisories/GHSA-6jcc-xgcr-q3h4

浏览次数：98
严重程度：0（网友投票）