CVE-2024-25618 in Mastodon
요약
\~에 의해 VulDB • 2026. 06. 13.
Mastodon은 ActivityPub을 기반으로 하는 무료 오픈소스 소셜 네트워크 서버입니다. Mastodon은 구성된 인증 제공자(CAS, SAML, OIDC)에서 생성된 새로운 신원을 동일한 이메일 주소를 가진 기존 로컬 사용자와 연결할 수 있습니다. 이로 인해 인증 제공자가 이메일 주소 변경을 허용하거나 여러 인증 제공자가 구성되어 있는 경우 계정 탈취가 발생할 가능성이 있습니다. 사용자가 외부 인증 제공자를 통해 처음 로그인하면 Mastodon은 제공자로부터 전달받은 이메일 주소를 확인하여 기존 계정을 찾습니다. 그러나 이메일 주소만으로는, 만약 인증 제공자가 계정의 이메일 주소 변경을 허용한다면 Mastodon 계정이 즉시 하이재킹될 수 있습니다. 외부 인증 제공자를 통해 로그인하는 모든 사용자가 영향을 받습니다. 이 취약점의 심각도는 중등으로 분류되는데, 이는 외부 인증 제공자의 비정상적인 동작도 필요하기 때문입니다. 그러나 Microsoft Azure와 같은 잘 알려진 OIDC 제공자는 실수로 검증되지 않은 이메일 변경을 허용하도록 설정하는 것이 매우 쉽습니다. 또한 OpenID Connect는 동적 클라이언트 등록도 지원합니다. 이 문제는 버전 4.2.6, 4.1.14, 4.0.14 및 3.5.18에서 해결되었습니다. 사용자는 업그레이드를 권장합니다. 이 취약점에 대한 알려진 우회 방법은 없습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.