CVE-2026-23964 in Mastodon정보

요약

\~에 의해 VulDB • 2026. 05. 26.

Mastodon은 ActivityPub 기반의 무료 오픈소스 소셜 네트워크 서버입니다. 버전 4.5.5, 4.4.12 및 4.3.18 이전 버전에서는 웹 푸시 구독 업데이트 엔드포인트에서 보안상 취약한 직접 객체 참조(Insecure Direct Object Reference)가 발견되어, 인증된 사용자라면 누구나 푸시 구독 ID를 추측하거나 획득하여 다른 사용자의 푸시 구독을 업데이트할 수 있습니다. 이를 통해 다른 사용자의 푸시 알림을 방해할 수 있으며, 웹 푸시 구독 엔드포인트 정보도 유출됩니다. 웹 푸시 구독을 설정한 모든 사용자가 영향을 받는데, 이는 다른 인증된 사용자가 구독 ID를 추측하거나 획득할 경우 피해자의 푸시 구독 설정을 임의로 변경할 수 있기 때문입니다. 이를 통해 공격자는 구독자가 팔로우하지 않는 사용자나 팔로우하지 않는 사용자의 알림을 필터링할지 여부 등 알림 정책과 구독된 알림 유형을 변경하여 푸시 알림을 방해할 수 있습니다. 또한 해당 엔드포인트는 푸시 알림 엔드포인트를 포함하지만 키페어는 포함하지 않는 구독 객체를 반환합니다. Mastodon 버전 v4.5.5, v4.4.12, v4.3.18에서 이 문제가 패치되었습니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 01. 19.

모더레이션

수락

항목

VDB-342275

EPSS

0.00195

출처

Want to know what is going to be exploited?

We predict KEV entries!