CVE-2026-22245 Joinmastodon — эксплойт и детали уязвимости HIGH

Параметр	Значение
CVSS	7,1 (HIGH)
Уязвимые версии	4.3.0 — 4.5.4
Устранено в версии	4.2.29
Тип уязвимости	CWE-918 (Подделка запросов на стороне сервера (SSRF))
Поставщик	Joinmastodon
Публичный эксплойт	Нет

Mastodon — это бесплатный сервер социальной сети с открытым исходным кодом, основанный на ActivityPub. По своей природе Mastodon выполняет множество исходящих запросов к доменам, предоставленным пользователями. Однако у Mastodon есть некоторый механизм защиты, запрещающий запросы к локальным IP-адресам (если не указано в `ALLOWED_PRIVATE_ADDRESSES`), чтобы избежать проблемы «запутанного заместителя».

В списке запрещенных диапазонов IP-адресов отсутствовали некоторые диапазоны IP-адресов, которые можно использовать для доступа к локальным IP-адресам. Злоумышленник может использовать IP-адрес в затронутых диапазонах, чтобы заставить Mastodon выполнять HTTP-запросы к узлам обратной связи или локальной сети, потенциально обеспечивая доступ к частным ресурсам и сервисам. Это исправлено в Mastodon v4.5.4, v4.4.11, v4.3.17 и v4.2.29.

Показать оригинальное описание (EN)

Mastodon is a free, open-source social network server based on ActivityPub. By nature, Mastodon performs a lot of outbound requests to user-provided domains. Mastodon, however, has some protection mechanism to disallow requests to local IP addresses (unless specified in `ALLOWED_PRIVATE_ADDRESSES`) to avoid the "confused deputy" problem. The list of disallowed IP address ranges was lacking some IP address ranges that can be used to reach local IP addresses. An attacker can use an IP address in the affected ranges to make Mastodon perform HTTP requests against loopback or local network hosts, potentially allowing access to otherwise private resources and services. This is fixed in Mastodon v4.5.4, v4.4.11, v4.3.17 and v4.2.29.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Не требуются

Нет дополнительных условий

Нужны права

Низкие

Нужны базовые права

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Нет

Нет утечки данных

Целостность

Высокое

Полная модификация данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-918 Server-Side Request Forgery (SSRF) (Подделка запросов на стороне сервера (SSRF))

Уязвимые продукты 4

Конфигурация	От (включительно)	До (исключительно)
Joinmastodon Mastodon cpe:2.3:a:joinmastodon:mastodon::::::::	—	`4.2.29`
Joinmastodon Mastodon cpe:2.3:a:joinmastodon:mastodon::::::::	`4.3.0`	`4.3.17`
Joinmastodon Mastodon cpe:2.3:a:joinmastodon:mastodon::::::::	`4.4.0`	`4.4.11`
Joinmastodon Mastodon cpe:2.3:a:joinmastodon:mastodon::::::::	`4.5.0`	`4.5.4`