CVE-2026-48028
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Mastodon przed wersjami 4.5.10, 4.4.17 i 4.3.23 nieprawidłowo normalizował przychodzące aktywności podpisane za pomocą Linked-Data Signatures, co umożliwiało atakującym usuwanie wpisów JSON z ważnych podpisanych aktywności od zewnętrznych podmiotów.
Ocena ryzyka
Ta podatność może prowadzić do manipulacji danymi w systemie, co stwarza ryzyko utraty integralności informacji oraz zaufania użytkowników do platformy.
Rekomendacja
Zaleca się aktualizację do wersji 4.5.10, 4.4.17 lub 4.3.23, aby zabezpieczyć się przed tym rodzajem ataku.
Oryginalny opis (angielski, źródło NVD)
Mastodon is a free, open-source social network server based on ActivityPub. Prior to 4.5.10, 4.4.17, and 4.3.23, Mastodon's normalization of incoming activities signed with Linked-Data Signatures does not sufficiently protect the activities from a certain class of spoofing, allowing threat actors to remove JSON entries from valid signed activities from a third-party actor. This vulnerability is fixed in 4.5.10, 4.4.17, and 4.3.23.

