MastodonはActivityPubに基づく無料のオープンソースのソーシャルネットワークサーバーです。バージョン4.5.5、4.4.12、および4.3.18より前のバージョンには、ウェブプッシュサブスクリプション更新エンドポイントに不十分な直接オブジェクト参照の脆弱性が存在していました。認証済みの任意のユーザーが数値のサブスクリプションIDを推測または入手することで他のユーザーのプッシュサブスクリプションを更新できてしまいます。これにより、他のユーザーのプッシュ通知を妨害し、ウェブプッシュサブスクリプションのエンドポイント情報が漏洩する可能性がありました。ウェブプッシュサブスクリプションを持つ全てのユーザーが影響を受け、他の認証済みユーザーがサブスクリプションIDを推測または入手できれば、プッシュサブスクリプション設定が改ざんされる可能性があります。この脆弱性によって攻撃者は、被害者のプッシュ通知ポリシー(非フォロワーまたは非フォロー中のユーザーからの通知をフィルタリングするかどうか)や通知タイプの登録内容を変更し、プッシュ通知を妨害できます。加えて、エンドポイントはプッシュ通知のエンドポイントを含むサブスクリプションオブジェクトを返しますが、キーぺアは含まれていません。Mastodonのv4.5.5、v4.4.12、v4.3.18でこの問題は修正されています。
|