CVE-2026-47389
WysokieCVSS 8.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Mastodon przed wersjami 4.5.10, 4.4.17 i 4.3.23 ma lukę, która pozwala na nieprawidłowe rozpoznawanie adresów IPv4-mapped IPv6, co może prowadzić do otwarcia połączeń TCP do prywatnych adresów IPv4. Atakujący mogą wykorzystać tę lukę, publikując odpowiednie rekordy DNS.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do lokalnych zasobów lub danych, co może prowadzić do poważnych incydentów bezpieczeństwa. W szczególności, atakujący mogą uzyskać dostęp do adresów takich jak 127.0.0.1, co stwarza ryzyko wycieku danych.
Rekomendacja
Zaleca się aktualizację Mastodona do wersji 4.5.10, 4.4.17 lub 4.3.23, aby usunąć tę lukę. Dodatkowo, warto monitorować i zabezpieczać konfigurację DNS, aby zapobiec publikacji nieautoryzowanych rekordów.
Oryginalny opis (angielski, źródło NVD)
Mastodon is a free, open-source social network server based on ActivityPub. Prior to 4.5.10, 4.4.17, and 4.3.23, when using Ruby versions older than 3.4, PrivateAddressCheck.private_address? returns false for IPv4-mapped IPv6 addresses (::ffff:a.b.c.d) corresponding to some private IPv4 addresses, depending on Ruby version, this can include loopback, RFC1918 private networks, and link-local space. An attacker who controls DNS for any domain can publish an AAAA record with such a mapped address; any outbound HTTP fetch Mastodon performs against that hostname then opens a real TCP connection to the underlying IPv4 address, including 127.0.0.1 and cloud-metadata endpoints such as 169.254.169.254. This vulnerability is fixed in 4.5.10, 4.4.17, and 4.3.23.

