CVE-2026-23964 in Mastodon
Tóm tắt
Bởi VulDB • 10/06/2026
Mastodon là một máy chủ mạng xã hội mã nguồn mở và miễn phí dựa trên ActivityPub. Trước các phiên bản 4.5.5, 4.4.12 và 4.3.18, lỗi tham chiếu đối tượng trực tiếp không an toàn tại điểm cuối cập nhật đăng ký đẩy web cho phép bất kỳ người dùng đã xác thực nào cập nhật đăng ký đẩy của người dùng khác bằng cách đoán hoặc lấy được ID đăng trị số. Điều này có thể được sử dụng để làm gián đoạn thông báo đẩy cho các người dùng khác và cũng gây rò rỉ điểm cuối đăng ký đẩy web. Mọi người dùng có đăng ký đẩy web đều bị ảnh hưởng, vì một người dùng đã xác thực khác có thể thao túng cài đặt đăng ký đẩy của họ nếu đoán hoặc lấy được ID đăng ký. Điều này cho phép kẻ tấn công làm gián đoạn thông báo đẩy bằng cách thay đổi chính sách (có lọc thông báo từ những người không theo dõi hay những người đang theo dõi) và các loại thông báo đã đăng ký của nạn nhân. Ngoài ra, điểm cuối trả về đối tượng đăng ký, bao gồm cả điểm cuối thông báo đẩy cho đăng ký này nhưng không bao gồm cặp khóa của nó. Các phiên bản Mastodon v4.5.5, v4.4.12 và v4.3.18 đã được vá lỗi.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.