CVE-2026-23963 (CNNVD-202601-3908)
中文标题:
Mastodon 安全漏洞
英文标题:
Mastodon missing length limits on list names, filter names, and filter keywords
漏洞描述
中文描述:
Mastodon是Mastodon开源的一款基于ActivityPub的开源社交网络服务器。 Mastodon v4.5.5之前版本、v4.4.12之前版本和v4.3.18之前版本存在安全漏洞,该漏洞源于未强制实施列表、过滤器名称或过滤器关键词的最大长度,可能导致资源滥用。
英文描述:
Mastodon is a free, open-source social network server based on ActivityPub. Prior to versions 4.5.5, 4.4.12, and 4.3.18, the server does not enforce a maximum length for the names of lists or filters, or for filter keywords, allowing any user to set an arbitrarily long string as the name or keyword. Any local user can abuse the list or filter fields to cause disproportionate storage and computing resource usage. They can additionally cause their own web interface to be unusable, although they must intentionally do this to themselves or unknowingly approve a malicious API client. Mastodon versions v4.5.5, v4.4.12, v4.3.18 are patched.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| mastodon | mastodon | < 4.3.18 | - | - |
cpe:2.3:a:mastodon:mastodon:<_4.3.18:*:*:*:*:*:*:*
|
| mastodon | mastodon | >= 4.4.0, < 4.4.12 | - | - |
cpe:2.3:a:mastodon:mastodon:>=_4.4.0,_<_4.4.12:*:*:*:*:*:*:*
|
| mastodon | mastodon | >= 4.5.0, < 4.5.5 | - | - |
cpe:2.3:a:mastodon:mastodon:>=_4.5.0,_<_4.5.5:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
cve.org
cve.org
cve.org
CVSS评分详情
3.1 (cna)
MEDIUMCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2026-23963 |
2026-01-22 03:19:50 | 2026-01-21 22:00:10 |
| NVD | nvd_CVE-2026-23963 |
2026-01-23 02:00:04 | 2026-01-22 22:00:17 |
| CNNVD | cnnvd_CNNVD-202601-3908 |
2026-01-26 02:10:03 | 2026-01-25 18:11:59 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 其他
- cnnvd_id: 未提取 -> CNNVD-202601-3908
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- data_sources: ['cve'] -> ['cve', 'nvd']