CVE-2024-25618 in Mastodoninfo

Zusammenfassung

von VulDB • 11.06.2026

Mastodon ist ein kostenloser Open-Source-Server für soziale Netzwerke auf Basis von ActivityPub. Mastodon ermöglicht es neuen Identitäten aus konfigurierten Authentifizierungsanbietern (CAS, SAML, OIDC), sich an bestehende lokale Benutzer mit derselben E-Mail-Adresse anzuhängen. Dies kann zu einer möglichen Übernahme eines Kontos führen, wenn der Authentifizierungsanbieter das Ändern der E-Mail-Adresse erlaubt oder mehrere Authentifizierungsanbieter konfiguriert sind. Wenn ein Benutzer zum ersten Mal über einen externen Authentifizierungsanbieter anmeldet, überprüft Mastodon die vom Anbieter übergebene E-Mail-Adresse, um nach einem bestehenden Konto zu suchen. Die Verwendung allein der E-Mail-Adresse bedeutet jedoch, dass das Mastodon-Konto sofort übernommen werden kann, wenn der Authentifizierungsanbieter das Ändern der E-Mail-Adresse eines Kontos erlaubt. Alle Benutzer, die sich über externe Authentifizierungsanbieter anmelden, sind betroffen. Die Schweregrad ist mittel, da auch ein Fehlverhalten des externen Authentifizierungsanbieters erforderlich ist. Einige bekannte OIDC-Anbieter (wie Microsoft Azure) machen es jedoch sehr einfach, versehentlich unüberprüfte E-Mail-Änderungen zuzulassen. Darüber hinaus ermöglicht OpenID Connect die dynamische Clientregistrierung. Dieses Problem wurde in den Versionen 4.2.6, 4.1.14, 4.0.14 und 3.5.18 behoben. Benutzern wird empfohlen, ein Upgrade durchzuführen. Es sind keine bekannten Workarounds für diese Schwachstelle bekannt.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

08.02.2024

Veröffentlichung

14.02.2024

Moderieren

akzeptiert

Eintrag

VDB-253900

CPE

bereit

EPSS

0.00477

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!