CVE-2026-23964 in Mastodoninformation

Résumé

par VulDB • 10/06/2026

Mastodon est un serveur de réseau social libre et open-source basé sur ActivityPub. Avant les versions 4.5.5, 4.4.12 et 4.3.18, une référence directe à des objets non sécurisée (Insecure Direct Object Reference) dans le point de mise à jour des abonnements aux notifications push permet à n'importe quel utilisateur authentifié de mettre à jour l'abonnement push d'un autre utilisateur en devinant ou en obtenant l'ID numérique de l'abonnement. Cela peut être utilisé pour perturber les notifications push destinées à d'autres utilisateurs et divulgue également le point de terminaison (endpoint) de l'abonnement web push. Tous les utilisateurs disposant d'un abonnement aux notifications web sont concernés, car un autre utilisateur authentifié peut altérer leurs paramètres d'abonnement push s'il parvient à deviner ou obtenir l'ID de l'abonnement. Cela permet à un attaquant de perturber les notifications push en modifiant la politique (par exemple, filtrer les notifications des utilisateurs non abonnés ou ne suivant pas) et les types d'notifications souscrits des victimes. De plus, le point de terminaison renvoie l'objet d'abonnement, qui inclut le point de terminaison pour les notifications push de cet abonnement, mais pas sa paire de clés. Les versions de Mastodon v4.5.5, v4.4.12 et v4.3.18 sont corrigées.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

19/01/2026

Divulgation

22/01/2026

Modérer

accepté

Entrée

VDB-342275

CPE

prêt

EPSS

0.00195

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!