CVE-2026-23964 in Mastodoninformación

Resumen

por VulDB • 2026-06-10

Mastodon es un servidor de red social gratuito y de código abierto basado en ActivityPub. Antes de las versiones 4.5.5, 4.4.12 y 4.3.18, una referencia directa a objetos insegura (IDOR) en el punto final de actualización de suscripciones web push permite que cualquier usuario autenticado actualice la suscripción web push de otro usuario mediante la suposición o obtención del ID numérico de la suscripción. Esto puede utilizarse para interrumpir las notificaciones push de otros usuarios y también filtra el punto final de la suscripción web push. Todos los usuarios con una suscripción a notificaciones por vía web se ven afectados, ya que otro usuario autenticado puede manipular su configuración de suscripción si logra suponer u obtener el ID de la suscripción. Esto permite al atacante interrumpir las notificaciones push modificando la política (si filtrar o no las notificaciones de usuarios que no siguen ni son seguidos) y los tipos de notificación suscrito por parte de las víctimas. Además, el punto final devuelve el objeto de suscripción, que incluye el extremo para las notificaciones push de esta suscripción, pero no su par de claves. Las versiones de Mastodon v4.5.5, v4.4.12 y v4.3.18 están parcheadas.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2026-01-19

Divulgación

2026-01-22

Moderación

aceptado

Artículo

VDB-342275

CPE

listo

EPSS

0.00195

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!