Vulnerabilidad en Mastodon (CVE-2026-23961)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/01/2026
Última modificación:
02/02/2026
Descripción
Mastodon es un servidor de red social gratuito y de código abierto basado en ActivityPub. Mastodon permite a los administradores de servidor suspender usuarios remotos para evitar interacciones. Sin embargo, algunos errores de lógica permiten que haya publicaciones ya conocidas de dichos usuarios suspendidos que aparezcan en las líneas de tiempo si se promocionan. Además, bajo ciertas circunstancias, se pueden procesar publicaciones previamente desconocidas de usuarios suspendidos. Este problema permite que haya publicaciones antiguas de usuarios suspendidos que, ocasionalmente, terminen en las líneas de tiempo en todas las versiones de Mastodon. Adicionalmente, en las versiones de Mastodon desde la v4.5.0 hasta la v4.5.4, de la v4.4.5 hasta la v4.4.11, de la v4.3.13 hasta la v4.3.17, y de la v4.2.26 hasta la v4.2.29, los usuarios remotos suspendidos pueden evitar parcialmente la suspensión para introducir nuevas publicaciones. Las versiones de Mastodon v4.5.5, v4.4.12, v4.3.18 están parcheadas.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:* | 4.3.18 (excluyendo) | |
| cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:* | 4.4.0 (incluyendo) | 4.4.12 (excluyendo) |
| cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:* | 4.5.0 (incluyendo) | 4.5.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página