CVE-2026-29178

See a problem?
Please try reporting it to the source first.

Source

https://cve.org/CVERecord?id=CVE-2026-29178

Import Source

https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2026-29178.json

JSON Data

https://api.osv.dev/v1/vulns/CVE-2026-29178

Aliases

GHSA-jvxv-2jjp-jxc3

Published

2026-03-06T17:56:09.378Z

Modified

2026-03-14T12:48:06.621698Z

Severity

7.7 (High) CVSS_V4 - CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:P CVSS Calculator

Summary

Lemmy: Unauthenticated SSRF via file_type query parameter injection in image endpoint

Details

Lemmy, a link aggregator and forum for the fediverse, is vulnerable to server-side request forgery via a dependency on activitypubfederation, a framework for ActivityPub federation in Rust. Prior to version 0.19.16, the GET /api/v4/image/{filename} endpoint is vulnerable to unauthenticated SSRF through parameter injection in the filetype query parameter. An attacker can inject arbitrary query parameters into the internal request to pict-rs, including the proxy parameter which causes pict-rs to fetch arbitrary URLs. This issue has been patched in version 0.19.16.

Database specific

{
    "cwe_ids": [
        "CWE-918"
    ],
    "cna_assigner": "GitHub_M",
    "osv_generated_from": "https://github.com/CVEProject/cvelistV5/tree/main/cves/2026/29xxx/CVE-2026-29178.json"
}

References

Affected packages

Git / github.com/lemmynet/lemmy

Affected ranges

Type: GIT
Repo: https://github.com/lemmynet/lemmy
Events: Introduced

0 Unknown introduced commit / All previous commits are affected

Fixed

6eff07b47e7e094d8809b198becfddfd5a8525b1

Affected versions

0.*

0.10.0

0.10.0-rc.10

0.10.0-rc.12

0.10.0-rc.13

0.10.0-rc.5

0.10.0-rc.7

0.10.0-rc.8

0.10.0-rc.9

0.10.1

0.10.2

0.10.3

0.11.0

0.11.0-rc.1

0.11.1

0.11.2

0.11.3-rc.4

0.11.4-rc.16

0.12.0

0.12.0-rc.1

0.12.0-rc.2

0.12.2-rc.1

0.13.0

0.13.0-rc.1

0.13.5-rc.7

0.13.6-rc.2

0.14.0

0.14.0-rc.1

0.14.0-rc.2

0.14.1

0.14.2

0.14.2-rc.1

0.14.3

0.15.0

0.15.0-rc.7

0.15.1

0.16.0

0.16.0-rc.1

0.16.0-rc.2

0.16.0-rc.3

0.16.0-rc.4

0.16.1

0.16.1-rc.1

0.16.2

0.16.2-rc.1

0.16.2-rc.2

0.16.2-rc.3

0.16.3

0.16.3-rc.1

0.16.4-rc.11

0.16.5

0.17.0

0.17.0-rc.1

0.17.0-rc.3

0.17.0-rc.4

0.17.1

0.18.0

0.18.0-rc.1

0.18.0-rc.2

0.18.0-rc.3

0.18.0-rc.4

0.18.0-rc.5

0.18.0-rc.6

0.18.0-rc.8

0.18.1

0.18.1-rc.1

0.18.1-rc.10

0.18.1-rc.4

0.18.1-rc.9

0.18.4-beta.7

0.19.0

0.19.0-beta.7

0.19.0-rc.1

0.19.0-rc.10

0.19.0-rc.11

0.19.0-rc.12

0.19.0-rc.13

0.19.0-rc.14

0.19.0-rc.15

0.19.0-rc.16

0.19.0-rc.2

0.19.0-rc.3

0.19.0-rc.4

0.19.0-rc.5

0.19.0-rc.6

0.19.0-rc.7

0.19.0-rc.8

0.19.1-rc.1

0.19.1-rc.2

0.19.10

0.19.10-beta.0

0.19.10-beta.1

0.19.10-beta.2

0.19.11

0.19.11-beta.0

0.19.11-beta.1

0.19.11-beta.2

0.19.12

0.19.12-beta.0

0.19.12-beta.1

0.19.12-beta.10

0.19.12-beta.11

0.19.12-beta.12

0.19.12-beta.2

0.19.12-beta.3

0.19.12-beta.4

0.19.12-beta.5

0.19.12-beta.6

0.19.12-beta.7

0.19.12-beta.8

0.19.12-beta.9

0.19.13

0.19.13-beta.1

0.19.14

0.19.14-beta.0

0.19.14-beta.1

0.19.14-beta.2

0.19.15

0.19.15-beta.0

0.19.16-beta.0

0.19.16-beta.1

0.19.2

0.19.2-rc.1

0.19.2-rc.2

0.19.2-rc.4

0.19.2-rc.5

0.19.3

0.19.3-rc.1

0.19.4

0.19.4-beta.1

0.19.4-beta.3

0.19.4-beta.4

0.19.4-beta.5

0.19.4-beta.6

0.19.4-beta.7

0.19.4-beta.8

0.19.4-rc.1

0.19.4-rc.10

0.19.4-rc.11

0.19.4-rc.2

0.19.4-rc.3

0.19.4-rc.4

0.19.4-rc.5

0.19.4-rc.6

0.19.4-rc.7

0.19.4-rc.8

0.19.4-rc.9

0.19.5

0.19.5-alpha.1

0.19.5-alpha.2

0.19.5-alpha.3

0.19.6

0.19.6-beta.14

0.19.6-beta.15

0.19.6-beta.2

0.19.6-beta.3

0.19.6-beta.4

0.19.6-beta.5

0.19.6-beta.6

0.19.6-beta.7

0.19.6-beta.8

0.19.6-beta.9

0.19.7

0.19.7-beta.1

0.19.7-beta.2

0.19.8

0.19.8-beta.0

0.19.9

0.19.9-beta.0

0.19.9-beta.1

0.19.9-beta.2

0.19.9-beta.3

0.19.9-beta.4

0.9.0

0.9.0-rc.12

0.9.0-rc.4

0.9.0-rc.6

0.9.0-rc.7

0.9.1

0.9.2

0.9.3

0.9.4

0.9.5

0.9.6

0.9.7

0.9.8

0.9.9

v0.*

v0.0.7.4

v0.0.7.5

v0.0.8.1

v0.0.8.2

v0.0.8.3

v0.4.0.3

v0.5.10

v0.6.36

v0.6.37

v0.6.38

v0.6.61

v0.6.62

v0.6.63

v0.6.64

v0.6.65

v0.6.66

v0.6.67

v0.6.68

v0.6.69

v0.6.70

v0.6.71

v0.6.72

v0.6.73

v0.6.74

v0.6.75

v0.6.76

v0.6.77

v0.6.78

v0.6.79

v0.6.80

v0.6.81

v0.6.82

v0.6.83

v0.6.84

v0.6.85

v0.7.0

v0.7.1

v0.7.10

v0.7.11

v0.7.12

v0.7.13

v0.7.14

v0.7.15

v0.7.16

v0.7.17

v0.7.18

v0.7.19

v0.7.2

v0.7.20

v0.7.21

v0.7.22

v0.7.23

v0.7.24

v0.7.25

v0.7.26

v0.7.28

v0.7.29

v0.7.3

v0.7.30

v0.7.31

v0.7.32

v0.7.33

v0.7.34

v0.7.35

v0.7.36

v0.7.37

v0.7.38

v0.7.39

v0.7.4

v0.7.40

v0.7.41

v0.7.42

v0.7.43

v0.7.44

v0.7.46

v0.7.47

v0.7.48

v0.7.49

v0.7.5

v0.7.50

v0.7.52

v0.7.53

v0.7.54

v0.7.55

v0.7.56

v0.7.57

v0.7.59

v0.7.6

v0.7.61

v0.7.62

v0.7.63

v0.7.64

v0.7.7

v0.7.8

v0.7.9

v0.8.0

v0.8.1

v0.8.10

v0.8.2

v0.8.3

v0.8.4

v0.8.5

v0.8.6

v0.8.7

v0.8.8

v0.8.9

v0.9.0-rc.1

v0.9.0-rc.2

Database specific

source

"https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2026-29178.json"