关键信息总结 漏洞标题: Insufficient access control to push notification settings 严重程度: Moderate CVE ID: CVE-2026-23964 受影响的版本: - < v4.3.18 - < v4.4.12 - < v4.5.5 修复的版本: - v4.3.18 - v4.4.12 - v4.5.5 漏洞描述: - 概要: 由于在web push订阅更新端点的不安全直接对象引用,使得任何经过身份验证的用户可以通过猜测或获取数值订阅ID来更新其他用户的push订阅。 - 影响: 这可以用来干扰其他用户的push通知,并且泄露web push订阅端点。 漏洞影响: - 任何具有web push订阅的用户都会受到影响,因为其他经过身份验证的用户可以篡改其push订阅设置,如果他们可以猜测或获取订阅ID。 - 攻击者可以通过更改策略(是否对来自非关注者或非关注用户的通知进行过滤)以及订阅的通知类型来干扰受害者的push通知。 安全更新: - 已在Mastodon的版本v4.5.5, v4.4.12, v4.3.18中修复了此问题。 漏洞发现者: Joshua Rogers of Aisle Research CVSS v3 基础度量: - 攻击矢量: Network - 攻击复杂度: Low - 所需权限: None - 用户交互: None - 范围: Unchanged - 机密性影响: Low - 完整性影响: Low - 可用性影响: None CVSS分数: 6.5 / 10