CVE-2024-25618 in Mastodon情報

要約

〜によって VulDB • 2026年06月13日

Mastodonは、ActivityPubを基盤とした無料のオープンソースソーシャルネットワークサーバーです。Mastodonでは、設定された認証プロバイダー(CAS、SAML、OIDC)からの新しいアイデンティティが、同じメールアドレスを持つ既存のローカルユーザーに紐づくことができます。これにより、認証プロバイダーでメールアドレスの変更が可能である場合や複数の認証プロバイダーが構成されている場合に、アカウント乗っ取りが発生する可能性があります。

ユーザーが外部認証プロバイダーを通じて初めてログインする場合、Mastodonはプロバイダーから渡されたメールアドレスを確認して既存のアカウントを検索します。しかし、メールアドレスのみを使用しているため、認証プロバイダーでアカウントのメールアドレスの変更が可能であると、Mastodonアカウントは即座にハイジャックされる可能性があります。外部認証プロバイダー経由でログインするすべてのユーザーが影響を受けます。

この脆弱性の深刻度は中程度です。これは、外部認証プロバイダー側の誤動作も必要となるためですが、Microsoft Azureのような有名なOIDCプロバイダーでは、検証されていないメールアドレスの変更を偶然許可することが非常に容易であるという点に注意が必要です。さらに、OpenID Connectは動的クライアント登録も可能にします。

この問題はバージョン4.2.6、4.1.14、4.0.14、および3.5.18で修正されています。ユーザーのアップグレードを推奨します。本脆弱性に対する既知の回避策はありません。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub, Inc.

予約する

2024年02月08日

モデレーション

承諾済み

エントリ

VDB-253900

EPSS

0.00477

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!