Katalog CVE

CVE-2026-50128

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Mastodon, serwer społecznościowy oparty na ActivityPub, ma lukę w wersjach od 4.3.0 do 4.5.11 oraz 4.4.18, która pozwala na modyfikację wartości attributionDomains w podpisanych aktywnościach. Błąd w definicji tego terminu uniemożliwia skuteczne weryfikowanie podpisów Linked Data.

Ocena ryzyka

Atakujący może wprowadzić fałszywe przypisania autorstwa, co prowadzi do dezinformacji i utraty zaufania do platformy. Może to również wpłynąć na reputację organizacji korzystającej z Mastodona.

Rekomendacja

Zaleca się aktualizację Mastodona do wersji 4.5.11 lub 4.4.18, aby usunąć tę lukę. Regularne monitorowanie i aktualizowanie oprogramowania jest kluczowe dla zapewnienia bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

Mastodon is a free, open-source social network server based on ActivityPub. From 4.3.0 until 4.5.11 and 4.4.18, Mastodon has a feature to let websites credit authors of their articles. To prevent false attribution claims, Mastodon uses the attributionDomains JSON-LD term, however, an error in how it is defined makes Linked Data Signatures on the toot:attributionDomains property ineffective. An attacker can arbitrarily modify the attributionDomains value of a legitimately signed Update activity and bypass Mastodon’s signature verification. This vulnerability is fixed in 4.5.11 and 4.4.18.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS