CVE-2026-23964 in Mastodonthông tin

Tóm tắt

Bởi VulDB • 10/06/2026

Mastodon là một máy chủ mạng xã hội mã nguồn mở và miễn phí dựa trên ActivityPub. Trước các phiên bản 4.5.5, 4.4.12 và 4.3.18, lỗi tham chiếu đối tượng trực tiếp không an toàn tại điểm cuối cập nhật đăng ký đẩy web cho phép bất kỳ người dùng đã xác thực nào cập nhật đăng ký đẩy của người dùng khác bằng cách đoán hoặc lấy được ID đăng trị số. Điều này có thể được sử dụng để làm gián đoạn thông báo đẩy cho các người dùng khác và cũng gây rò rỉ điểm cuối đăng ký đẩy web. Mọi người dùng có đăng ký đẩy web đều bị ảnh hưởng, vì một người dùng đã xác thực khác có thể thao túng cài đặt đăng ký đẩy của họ nếu đoán hoặc lấy được ID đăng ký. Điều này cho phép kẻ tấn công làm gián đoạn thông báo đẩy bằng cách thay đổi chính sách (có lọc thông báo từ những người không theo dõi hay những người đang theo dõi) và các loại thông báo đã đăng ký của nạn nhân. Ngoài ra, điểm cuối trả về đối tượng đăng ký, bao gồm cả điểm cuối thông báo đẩy cho đăng ký này nhưng không bao gồm cặp khóa của nó. Các phiên bản Mastodon v4.5.5, v4.4.12 và v4.3.18 đã được vá lỗi.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

19/01/2026

Tiết lộ

22/01/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00195

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!