CVE-2025-54879

Nome do Software Vulnerável e Versões Afetadas Versões do Mastodon 3.1.5 a 4.2.24 Versões do Mastodon 4.3.0 a 4.3.11 Versões do Mastodon 4.4.0 a 4.4.3

Descrição O sistema de limitação de taxa do Mastodon contém um erro de configuração onde o limitador baseado em e-mail para e-mails de confirmação verifica incorretamente o caminho de redefinição de senha em vez do caminho de confirmação. Isso efetivamente desabilita os limites por e-mail para solicitações de confirmação, permitindo que atacantes contornem os limites de taxa rotacionando endereços IP e enviem e-mails de confirmação ilimitados para qualquer endereço de e-mail. Apenas um limitador fraco baseado em IP (25 solicitações a cada 5 minutos) permanece ativo. Isso possibilita ataques de negação de serviço que podem sobrecarregar as filas de e-mail e facilitar o assédio a usuários através de spam de e-mail de confirmação.

Recomendações Atualize para a versão 4.2.24 do Mastodon. Atualize para a versão 4.3.11 do Mastodon. Atualize para a versão 4.4.3 do Mastodon.