Katalog CVE

CVE-2026-48028

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Mastodon przed wersjami 4.5.10, 4.4.17 i 4.3.23 nieprawidłowo normalizował przychodzące aktywności podpisane za pomocą Linked-Data Signatures, co umożliwiało atakującym usuwanie wpisów JSON z ważnych podpisanych aktywności od zewnętrznych podmiotów.

Ocena ryzyka

Ta podatność może prowadzić do manipulacji danymi w systemie, co stwarza ryzyko utraty integralności informacji oraz zaufania użytkowników do platformy.

Rekomendacja

Zaleca się aktualizację do wersji 4.5.10, 4.4.17 lub 4.3.23, aby zabezpieczyć się przed tym rodzajem ataku.

Oryginalny opis (angielski, źródło NVD)

Mastodon is a free, open-source social network server based on ActivityPub. Prior to 4.5.10, 4.4.17, and 4.3.23, Mastodon's normalization of incoming activities signed with Linked-Data Signatures does not sufficiently protect the activities from a certain class of spoofing, allowing threat actors to remove JSON entries from valid signed activities from a third-party actor. This vulnerability is fixed in 4.5.10, 4.4.17, and 4.3.23.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS