CVE-2026-23964 in Mastodonالمعلومات

الملخص

بحسب VulDB • 26/05/2026

Mastodon هو خادم شبكة اجتماعية مجاني ومفتوح المصدر يعتمد على ActivityPub. قبل الإصدارات 4.5.5 و4.4.12 و4.3.18، كان هناك ثغرة في مرجع الكائن المباشر غير الآمن (Insecure Direct Object Reference) في نقطة نهاية تحديث اشتراك الدفع عبر الويب، مما يسمح لأي مستخدم مصادق عليه بتحديث اشتراك الدفع الخاص بمستخدم آخر عن طريق التخمين أو الحصول على معرف الاشتراك الرقمي. يمكن استخدام هذا لتعطيل إشعارات الدفع للمستخدمين الآخرين، كما يؤدي أيضاً إلى تسرب نقطة نهاية اشتراك الدفع عبر الويب. يتأثر أي مستخدم لديه اشتراك في الدفع عبر الويب، حيث يمكن لمستخدم مصادق عليه آخر العبث بإعدادات اشتراك الدفع الخاص به إذا تمكن من تخمين أو الحصول على معرف الاشتراك. هذا يسمح للمهاجم بتعطيل إشعارات الدفع عن طريق تغيير السياسة (سواء كان تصفية الإشعارات من غير المتابعين أو المستخدمين الذين لا يتابعونهم) وأنواع الإشعارات المشترك فيها لضحاياهم. بالإضافة إلى ذلك، تعيد نقطة النهاية كائن الاشتراك، الذي يتضمن نقطة نهاية إشعارات الدفع لهذا الاشتراك، ولكن ليس زوج المفاتيح الخاص به. تم إصلاح الإصدارات v4.5.5 وv4.4.12 وv4.3.18 من Mastodon.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

19/01/2026

إفشاء

22/01/2026

الاعتدال

تمت الموافقة

إدخال

VDB-342275

EPSS

0.00195

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!