PT-2025-41807 · Mastodon · Mastodon
Thisismissem
·
Publicado
2025-10-13
·
Atualizado
2025-10-20
·
CVE-2025-62174
CVSS v3.1
3.5
Baixa
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Mastodon anteriores à 4.2.27
Versões do Mastodon anteriores à 4.3.14
Versões do Mastodon anteriores à 4.4.6
Descrição
O Mastodon é um servidor de rede social gratuito e de código aberto baseado no ActivityPub. Quando um administrador redefine a senha de uma conta de usuário usando a interface de linha de comando com
bin/tootctl accounts modify --reset-password, as sessões ativas e os tokens de acesso para essa conta não são revogados. Isso permite que um atacante que previamente comprometeu uma sessão ou token continue usando a conta mesmo após a senha ter sido redefinida. O comando usado para redefinir a senha é bin/tootctl accounts modify --reset-password.Recomendações
Atualize para a versão 4.2.27 ou posterior do Mastodon.
Atualize para a versão 4.3.14 ou posterior do Mastodon.
Atualize para a versão 4.4.6 ou posterior do Mastodon.
Exploit
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mastodon