CVE-2026-23964 in Mastodoninformação

Sumário

de VulDB • 26/05/2026

O Mastodon é um servidor de rede social gratuito e de código aberto baseado no ActivityPub. Antes das versões 4.5.5, 4.4.12 e 4.3.18, uma referência direta a objeto insegura no endpoint de atualização de assinatura de push web permite que qualquer usuário autenticado atualize a assinatura de push de outro usuário adivinhando ou obtendo o ID numérico da assinatura. Isso pode ser usado para interromper as notificações push de outros usuários e também vaza o endpoint da assinatura de push web. Qualquer usuário com uma assinatura de push web é afetado, pois outro usuário autenticado pode adulterar as configurações de sua assinatura de push se conseguir adivinhar ou obter o ID da assinatura. Isso permite que um atacante interrompa as notificações push alterando a política (se deve filtrar notificações de não seguidores ou de usuários não seguidos) e os tipos de notificação assinados de suas vítimas. Além disso, o endpoint retorna o objeto de assinatura, que inclui o endpoint de notificação push para esta assinatura, mas não seu par de chaves. As versões do Mastodon v4.5.5, v4.4.12 e v4.3.18 foram corrigidas.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

19/01/2026

Divulgação

22/01/2026

Moderação

aceite

Entrada

VDB-342275

CPE

pronto

EPSS

0.00195

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!