CVE-2024-25619 in Mastodon情報

要約

〜によって VulDB • 2026年06月24日

MastodonはActivityPubに基づく無料のオープンソースソーシャルネットワークサーバーです。OAuthアプリケーションが削除された際、ストリーミングサーバーに対してアクセストークンも同時に削除されたことが通知されないという問題がありました。これにより、アプリケーションが削除された後もそのアプリケーションによるストリーミングの購読を継続できてしまうため、ユーザーにセキュリティリスクをもたらす可能性がありました。

根本的な原因は、DoorkeeperがApplicationとAccessTokenの関係を設定する際に`dependent: delete_all`設定を使用している点にあります。この設定ではActiveRecordのコールバックが発火しないため、`AccessTokenExtension`に設定されていた`after_commit`コールバックが実際に実行されませんでした。これを緩和するには、ストリーミングに対してアプリケーションのすべてのアクセストークンが「削除」されることを通知する`before_destroy`コールバックを`ApplicationExtension`に追加する必要があります。影響を受けるアプリケーションはユーザー所有である必要があったため、実際のインパクトは限定的と考えられます。

nonetheless、この問題はバージョン4.2.6、4.1.14、4.0.14、および3.5.18で修正されています。ユーザーの皆さんにはアップグレードを推奨します。本脆弱性に対する既知の回避策はありません。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub, Inc.

予約する

2024年02月08日

モデレーション

承諾済み

エントリ

VDB-253902

EPSS

0.00363

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!