CVE-2026-50128
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Mastodon, serwer społecznościowy oparty na ActivityPub, ma lukę w wersjach od 4.3.0 do 4.5.11 oraz 4.4.18, która pozwala na modyfikację wartości attributionDomains w podpisanych aktywnościach. Błąd w definicji tego terminu uniemożliwia skuteczne weryfikowanie podpisów Linked Data.
Ocena ryzyka
Atakujący może wprowadzić fałszywe przypisania autorstwa, co prowadzi do dezinformacji i utraty zaufania do platformy. Może to również wpłynąć na reputację organizacji korzystającej z Mastodona.
Rekomendacja
Zaleca się aktualizację Mastodona do wersji 4.5.11 lub 4.4.18, aby usunąć tę lukę. Regularne monitorowanie i aktualizowanie oprogramowania jest kluczowe dla zapewnienia bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
Mastodon is a free, open-source social network server based on ActivityPub. From 4.3.0 until 4.5.11 and 4.4.18, Mastodon has a feature to let websites credit authors of their articles. To prevent false attribution claims, Mastodon uses the attributionDomains JSON-LD term, however, an error in how it is defined makes Linked Data Signatures on the toot:attributionDomains property ineffective. An attacker can arbitrarily modify the attributionDomains value of a legitimately signed Update activity and bypass Mastodon’s signature verification. This vulnerability is fixed in 4.5.11 and 4.4.18.

