CVE-2026-23964 in Mastodon情報

要約

〜によって VulDB • 2026年05月10日

Mastodonは、ActivityPubを基盤とした無料のオープンソースソーシャルネットワークサーバーです。バージョン4.5.5、4.4.12、および4.3.18より前では、Webプッシュサブスクリプション更新エンドポイントにインセキュア・ダイレクト・オブジェクト・リファレンス(IDOR)が存在し、認証済みユーザーであれば、数値のサブスクリプションIDを推測または入手することで、他のユーザーのプッシュサブスクリプションを更新することができました。これにより、他のユーザーのプッシュ通知を妨害したり、Webプッシュサブスクリプションエンドポイントを漏洩させたりすることが可能でした。Webプッシュサブスクリプションを持つすべてのユーザーが影響を受けました。攻撃者がサブスクリプションIDを推測または入手できれば、認証済みユーザーは他のユーザーのプッシュサブスクリプション設定を改ざんでき、フォロワー以外からの通知をフィルタリングするかどうかや、購読する通知タイプなどのポリシーを変更することで、被害者のプッシュ通知を妨害することができました。さらに、このエンドポイントはサブスクリプションオブジェクトを返しますが、これにはプッシュ通知エンドポイントが含まれていても、そのキーペアは含まれていません。Mastodonのバージョンv4.5.5、v4.4.12、v4.3.18でこの問題は修正されています。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年01月19日

モデレーション

承諾済み

エントリ

VDB-342275

EPSS

0.00195

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!