Mastodon — это автономная федеративная платформа микроблогов. В версиях до 4.1.23, 4.2.16 и 4.3.4, когда видимость блокировки/причин домена установлена на «пользователи» (локализованная английская строка: «Для вошедших в систему пользователей»), пользователи, которые еще не утверждены, могут просматривать причины блокировки. Это повлияет на администраторов экземпляров, которые не хотят, чтобы блоки их домена были общедоступными.
Версии 4.1.23, 4.2.16 и 4.3.4 устраняют проблему.
Показать оригинальное описание (EN)
Mastodon is a self-hosted, federated microblogging platform. In versions prior to 4.1.23, 4.2.16, and 4.3.4, when the visibility for domain blocks/reasons is set to "users" (localized English string: "To logged-in users"), users that are not yet approved can view the block reasons. Instance admins that do not want their domain blocks to be public are impacted. Versions 4.1.23, 4.2.16, and 4.3.4 fix the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Joinmastodon Mastodon
cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:*
|
— |
4.1.23
|
|
Joinmastodon Mastodon
cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:*
|
4.2.0
|
4.2.16
|
|
Joinmastodon Mastodon
cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:*
|
4.3.0
|
4.3.4
|