خانه » CVE-2025-54879
هشدار‌های سایبری

CVE-2025-54879

Mastodon E‑Mail Throttle Misconfiguration Allows Unlimited Email Confirmations Against Unconfirmed Emails

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 6 بازدید
هشدار سایبری CVE-2025-54879
  • شناسه CVE-2025-54879 :CVE
  • CWE-770 :CWE
  • yes :Advisory
  • منتشر شده: آگوست 5, 2025
  • به روز شده: آگوست 5, 2025
  • امتیاز: 5.3
  • نوع حمله: Denial of Service
  • اثر گذاری: Unknown
  • حوزه: نرم افزارهای کاربردی
  • برند: mastodon
  • محصول: mastodon
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری در Mastodon به دلیل پیکربندی نادرست محدودیت ایمیل، امکان ارسال نامحدود ایمیل تأیید را فراهم می‌کند که می‌تواند منجر به ارسال اسپم و حملات انکار سرویس شود.

توضیحات

آسیب‌پذیری CVE-2025-54879 در سرور شبکه اجتماعی Mastodon، که یک پلتفرم رایگان و متن‌باز مبتنی بر ActivityPub است، نسخه‌های 3.1.5 تا 4.2.23، 4.3.0 تا 4.3.10 و 4.4.0 تا 4.4.2 را تحت تأثیر قرار می‌دهد. این سامانه از LDAP برای احراز هویت پشتیبانی می‌کند. ضعف امنیتی در فایل پیکربندی config/initializers/rack_attack.rb مربوط به سیستم محدودسازی نرخ (Rate Limiting) است که با استفاده از ابزار Rack::Attack پیاده‌سازی شده است. یک خطای برنامه‌نویسی (Copy-Paste Error) باعث می‌شود بررسی مسیر در محدودسازی مبتنی بر آدرس ایمیل به اشتباه برای مسیر بازیابی رمز عبور (/auth/password) انجام شود، در حالی که باید برای مسیر تأیید ایمیل (/auth/confirmation) باشد.

در نتیجه این پیکربندی نادرست، محدودیت‌های تعداد درخواست‌های تأیید حساب که بر اساس ایمیل طراحی شده‌اند، هرگز فعال نمی‌شوند و تنها محدودسازی مبتنی بر IP (25 درخواست در هر 5 دقیقه) باقی می‌ماند که به‌راحتی با تغییر آدرس‌های IP قابل دور زدن است. این موضوع به مهاجم امکان می‌دهد به صورت نامحدود ایمیل های تایید به هر آدرس ارسال کند، بدون آنکه با محدودیت مواجه شود. این آسیب‌پذیری می‌تواند منجر به حملات انکار سرویس (DoS) از طریق اشباع صف ارسال ایمیل سرور شود و همچنین به عنوان یک ابزار آزار و اذیت کاربران با ارسال مکرر اسپم ایمیل‌ تأیید مورد سوءاستفاده قرار گیرد. این آسیب پذیری امنیتی در نسخه‌های جدید با اصلاح منطق بررسی مسیر در مکانیزم محدودسازی نرخ پچ شده است.

CVSS

Score Severity Version Vector String
5.3 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

لیست محصولات آسیب پذیر

Versions Product
affected at >= 3.1.5, < 4.2.24

affected at >= 4.3.0, < 4.3.11

affected at >= 4.4.0, < 4.4.3

 mastodon

لیست محصولات بروز شده

Versions Product
4.4.3, 4.3.11, 4.2.24 mastodon

نتیجه گیری

به مدیران سرور Mastodon توصیه می‌شود در اسرع وقت به نسخه‌های پچ شده به روزرسانی کرده، پیکربندی امنیتی مسیرهای حساس را بررسی کنند و سیستم‌های مانیتورینگ صف ایمیل و نرخ درخواست را به‌درستی پیاده‌سازی نمایند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-54879
  2. https://www.cvedetails.com/cve/CVE-2025-54879/
  3. https://github.com/mastodon/mastodon/security/advisories/GHSA-84ch-6436-c7mg
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-54879
  5. https://vuldb.com/?id.318891
  6. https://github.com/mastodon/mastodon/commit/e2592419d93fb41be03c2f3ff6a122fecb0e0952
  7. https://github.com/mastodon/mastodon/releases/tag/v4.4.3
  8. https://cwe.mitre.org/data/definitions/770.html

همچنین ممکن است دوست داشته باشید

CVE-2025-54629

CVE-2025-54635

CVE-2025-54638

CVE-2025-54571

CVE-2025-43227

CVE-2025-43223

CVE-2025-43220

CVE-2025-43229

CVE-2025-43233

CVE-2025-43240

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.