CVE-2026-58593
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Podatność w NodeBB umożliwia zdalnemu atakującemu podszywanie się pod dowolnego lokalnego użytkownika, w tym administratora, poprzez wysyłanie sfabrykowanych postów i prywatnych wiadomości za pomocą protokołu ActivityPub. Problem wynika z braku weryfikacji, czy uwierzytelniony zdalny aktor jest faktycznym autorem obiektu ActivityPub.
Ocena ryzyka
Atakujący może przejąć tożsamość dowolnego użytkownika (w tym administratora) i publikować treści lub wysyłać prywatne wiadomości pod jego nazwiskiem, co prowadzi do naruszenia integralności danych, zaufania użytkowników i potencjalnych ataków socjotechnicznych.
Rekomendacja
Należy natychmiast zaktualizować NodeBB do wersji, która zawiera poprawkę wymuszającą weryfikację atrybutu attributedTo z uwierzytelnionym aktorem. Jeśli aktualizacja nie jest możliwa, rozważ tymczasowe wyłączenie funkcji ActivityPub/federation.
Oryginalny opis (angielski, źródło NVD)
NodeBB does not bind the claimed author of an inbound ActivityPub object to the authenticated remote actor. The inbound middleware verifies the HTTP-signature actor and checks the origin of object.id, but never validates that attributedTo corresponds to the sender. In the object mock, attributedTo is used directly as a uid, and actors.assert silently ignores numeric identifiers (filtering them out without re-deriving the uid), so a federated remote actor can set attributedTo to a bare numeric value such as 1 and have the resulting post or private message created with that local uid as author, including the administrator account. This lets a remote attacker forge posts and direct messages attributed to arbitrary local users. Requires the ActivityPub/federation feature to be enabled.

