Mastodon — это бесплатный сервер социальной сети с открытым исходным кодом, основанный на ActivityPub. В версиях ветки 4.5.x до 4.5.8 и ветки 4.4.x до 4.4.15 злоумышленник, который знает о цитате до того, как она достигнет сервера, может помешать ее правильной обработке на этом сервере. Уязвимость исправлена в Mastodon 4.5.8 и 4.4.15.
Mastodon 4.3 и более ранние версии не затронуты, поскольку они не поддерживают кавычки.
Показать оригинальное описание (EN)
Mastodon is a free, open-source social network server based on ActivityPub. In versions on the 4.5.x branch prior to 4.5.8 and on the 4.4.x branch prior to 4.4.15, an attacker that knows of a quote before it has reached a server can prevent it from being correctly processed on that server. The vulnerability has been patched in Mastodon 4.5.8 and 4.4.15. Mastodon 4.3 and earlier are not affected because they do not support quotes.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Joinmastodon Mastodon
cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:*
|
4.4.0
|
4.4.15
|
|
Joinmastodon Mastodon
cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:*
|
4.5.0
|
4.5.8
|