Vulnerabilidad en Mastodon (CVE-2026-23964)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/01/2026
Última modificación:
02/02/2026
Descripción
Mastodon es un servidor de red social gratuito y de código abierto basado en ActivityPub. Antes de las versiones 4.5.5, 4.4.12 y 4.3.18, una referencia directa a objeto insegura en el endpoint de actualización de suscripción de notificaciones push web permite a cualquier usuario autenticado actualizar la suscripción de notificaciones push de otro usuario adivinando u obteniendo el ID numérico de la suscripción. Esto puede usarse para interrumpir las notificaciones push de otros usuarios y también filtra el endpoint de suscripción de notificaciones push web. Cualquier usuario con una suscripción de notificaciones push web se ve afectado, porque otro usuario autenticado puede manipular la configuración de su suscripción de notificaciones push si puede adivinar u obtener el ID de la suscripción. Esto permite a un atacante interrumpir las notificaciones push cambiando la política (si filtrar notificaciones de usuarios no seguidores o no seguidos) y los tipos de notificación suscritos de sus víctimas. Además, el endpoint devuelve el objeto de suscripción, que incluye el endpoint de notificación push para esta suscripción, pero no su par de claves. Las versiones de Mastodon v4.5.5, v4.4.12, v4.3.18 están parcheadas.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:* | 4.3.18 (excluyendo) | |
| cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:* | 4.4.0 (incluyendo) | 4.4.12 (excluyendo) |
| cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:* | 4.5.0 (incluyendo) | 4.5.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página