CVE-2026-23964 in Mastodon
Сводка
по VulDB • 10.06.2026
Mastodon — это бесплатный сервер социальной сети с открытым исходным кодом, основанный на протоколе ActivityPub. В версиях до 4.5.5, 4.4.12 и 4.3.18 уязвимость insecure direct object reference (небезопасная прямая ссылка на объект) в конечной точке обновления подписки веб-уведомлений позволяет любому аутентифицированному пользователю изменить настройки push-подписки другого пользователя путем подбора или получения числового идентификатора подписки. Это может быть использовано для нарушения работы push-уведомлений других пользователей, а также приводит к утечке конечной точки веб-push подписки. Затронуты все пользователи с активной веб-push подпиской, поскольку другой аутентифицированный пользователь может изменить настройки их push-подписки при условии угадывания или получения идентификатора подписки. Это позволяет злоумышленнику нарушать доставку push-уведомлений путем изменения политики (например, фильтрации уведомлений от пользователей, на которых не ведется наблюдение, или тех, кто не ведет наблюдение за жертвой) и типов подписанных уведомлений у своих жертв. Кроме того, конечная точка возвращает объект подписки, который включает в себя endpoint для push-уведомлений данной подписки, но не содержит ее пары ключей (keypair). Уязвимости устранены в версиях Mastodon v4.5.5, v4.4.12 и v4.3.18.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.