V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-54879
CVE
Высокий

Mastodon - это бесплатный сервер социальной сети с открытым исходным кодом на основе ActivityPub. В версиях с 3.1.5 по 4.2.24, с 4.3.0 по 4…

CVSS
7.5
Высокий
EPSS
0.01
p39
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Mastodon - это бесплатный сервер социальной сети с открытым исходным кодом на основе ActivityPub. В версиях с 3.1.5 по 4.2.24, с 4.3.0 по 4.3.11 и с 4.4.0 по 4.4.3 система ограничения скорости Mastodon имеет критическую ошибку конфигурации, при которой ограничение по электронной почте для подтверждающих писем неправильно проверяет путь сброса пароля вместо пути подтверждения. Это позволяет злоумышленникам обойти ограничения, вращая IP-адреса, и отправлять неограниченное количество подтверждающих писем на любой адрес электронной почты [1]. Источники: - [1] https://github.com/mastodon/mastodon/security/advisories/GHSA-84ch-6436-c7mg - [2] https://github.com/mastodon/mastodon/commit/e2592419d93fb41be03c2f3ff6a122fecb0e0952 - [3] https://github.com/mastodon/mastodon/releases/tag/v4.4.3

Теги · CWE
Без аутентификации
CWE-770
CAPEC-125
CAPEC-130
CAPEC-147
CAPEC-197
CAPEC-229
CAPEC-230
CAPEC-231
CAPEC-469
CAPEC-482
CAPEC-486
CAPEC-487
CAPEC-488
CAPEC-489
CAPEC-490
CAPEC-491
CAPEC-493
CAPEC-494
CAPEC-495
CAPEC-496
CAPEC-528
Затронутые продукты
Mastodon 3.1.5–4.2.24Mastodon 4.3.0–4.3.11Mastodon 4.4.0–4.4.3
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: N
Отсутствует (N)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.005 · p39
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
mastodonОтслеживается
mastodon*Отслеживается
Источники данных
ANC
DEB
CVE