CVE-2026-23964 in Mastodon
الملخص
بحسب VulDB • 26/05/2026
Mastodon هو خادم شبكة اجتماعية مجاني ومفتوح المصدر يعتمد على ActivityPub. قبل الإصدارات 4.5.5 و4.4.12 و4.3.18، كان هناك ثغرة في مرجع الكائن المباشر غير الآمن (Insecure Direct Object Reference) في نقطة نهاية تحديث اشتراك الدفع عبر الويب، مما يسمح لأي مستخدم مصادق عليه بتحديث اشتراك الدفع الخاص بمستخدم آخر عن طريق التخمين أو الحصول على معرف الاشتراك الرقمي. يمكن استخدام هذا لتعطيل إشعارات الدفع للمستخدمين الآخرين، كما يؤدي أيضاً إلى تسرب نقطة نهاية اشتراك الدفع عبر الويب. يتأثر أي مستخدم لديه اشتراك في الدفع عبر الويب، حيث يمكن لمستخدم مصادق عليه آخر العبث بإعدادات اشتراك الدفع الخاص به إذا تمكن من تخمين أو الحصول على معرف الاشتراك. هذا يسمح للمهاجم بتعطيل إشعارات الدفع عن طريق تغيير السياسة (سواء كان تصفية الإشعارات من غير المتابعين أو المستخدمين الذين لا يتابعونهم) وأنواع الإشعارات المشترك فيها لضحاياهم. بالإضافة إلى ذلك، تعيد نقطة النهاية كائن الاشتراك، الذي يتضمن نقطة نهاية إشعارات الدفع لهذا الاشتراك، ولكن ليس زوج المفاتيح الخاص به. تم إصلاح الإصدارات v4.5.5 وv4.4.12 وv4.3.18 من Mastodon.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.