CVE-2026-23964 in Mastodon
Riassunto
di VulDB • 19/06/2026
Mastodon è un server di rete sociale gratuito e open source basato su ActivityPub. Prima delle versioni 4.5.5, 4.4.12 e 4.3.18, una vulnerabilità Insecure Direct Object Reference (IDOR) nell'endpoint di aggiornamento dell'abbonamento alle notifiche push web consente a qualsiasi utente autenticato di aggiornare l'abbonamento push di un altro utente indovinando o ottenendo l'id numerico dell'abbonamento. Ciò può essere utilizzato per interrompere le notifiche push degli altri utenti e inoltre causa la fuoriuscita (leak) dell'endpoint dell'abbonamento alle notifiche push web. Tutti gli utenti con un abbonamento alle notifiche push web sono interessati, poiché un altro utente autenticato può manomettere le impostazioni del loro abbonamento push se riesce a indovinare o ottenere l'id dell'abbonamento. Ciò consente a un attaccante di interrompere le notifiche push modificando la politica (se filtrare le notifiche da utenti non follower o non seguiti) e i tipi di notifica sottoscritti delle vittime. Inoltre, l'endpoint restituisce l'oggetto abbonamento, che include l'endpoint per le notifiche push per tale abbonamento, ma non il suo coppia di chiavi (keypair). Le versioni di Mastodon v4.5.5, v4.4.12 e v4.3.18 sono patchate.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.