CVE-2026-23964 in MastodonИнформация

Сводка

по VulDB • 10.06.2026

Mastodon — это бесплатный сервер социальной сети с открытым исходным кодом, основанный на протоколе ActivityPub. В версиях до 4.5.5, 4.4.12 и 4.3.18 уязвимость insecure direct object reference (небезопасная прямая ссылка на объект) в конечной точке обновления подписки веб-уведомлений позволяет любому аутентифицированному пользователю изменить настройки push-подписки другого пользователя путем подбора или получения числового идентификатора подписки. Это может быть использовано для нарушения работы push-уведомлений других пользователей, а также приводит к утечке конечной точки веб-push подписки. Затронуты все пользователи с активной веб-push подпиской, поскольку другой аутентифицированный пользователь может изменить настройки их push-подписки при условии угадывания или получения идентификатора подписки. Это позволяет злоумышленнику нарушать доставку push-уведомлений путем изменения политики (например, фильтрации уведомлений от пользователей, на которых не ведется наблюдение, или тех, кто не ведет наблюдение за жертвой) и типов подписанных уведомлений у своих жертв. Кроме того, конечная точка возвращает объект подписки, который включает в себя endpoint для push-уведомлений данной подписки, но не содержит ее пары ключей (keypair). Уязвимости устранены в версиях Mastodon v4.5.5, v4.4.12 и v4.3.18.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

19.01.2026

Раскрытие

22.01.2026

Модерация

принято

Вход

VDB-342275

EPSS

0.00195

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!