Vulnerabilidad en mastodon (CVE-2026-22246)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/01/2026
Última modificación:
22/01/2026
Descripción
Mastodon es un servidor de red social gratuito, de código abierto, basado en ActivityPub. Mastodon 4.3 añadió notificaciones de relaciones cortadas, permitiendo a los usuarios finales inspeccionar las relaciones que perdieron como resultado de una acción de moderación. El código que permite a los usuarios descargar listas de relaciones cortadas para un evento particular no verifica al propietario de la lista antes de devolver las relaciones perdidas. Cualquier usuario local registrado puede acceder a la lista de seguidores perdidos y usuarios seguidos causada por cualquier evento de corte, y revisar todos los eventos de corte de esta manera. La información filtrada no incluye el nombre de la cuenta que ha perdido seguimientos y seguidores. Esto ha sido corregido en Mastodon v4.3.17, v4.4.11 y v4.5.4.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:* | 4.3.17 (excluyendo) | |
| cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:* | 4.4.0 (incluyendo) | 4.4.11 (excluyendo) |
| cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:* | 4.5.0 (incluyendo) | 4.5.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/mastodon/mastodon/commit/68e30985ca7afdb89af1b2e9dc962e1993dc8076
- https://github.com/mastodon/mastodon/commit/b2bcd34486fd6681cc0f30028086ef0f47282adf
- https://github.com/mastodon/mastodon/commit/c1fb6893c5175d74c074f6f786d504c8bc610d57
- https://github.com/mastodon/mastodon/security/advisories/GHSA-ww85-x9cp-5v24