CVE-2026-22245 (CNNVD-202601-1447)

HIGH
中文标题:
Mastodon 代码问题漏洞
英文标题:
Mastodon has SSRF Protection bypass
CVSS分数: 7.1
发布时间: 2026-01-08 15:23:13
漏洞类型: 代码问题
状态: PUBLISHED
数据质量分数: 0.40
数据版本: v4
漏洞描述
中文描述:

Mastodon是Mastodon开源的一款基于ActivityPub的开源社交网络服务器。 Mastodon 4.5.4之前版本、4.4.11之前版本、4.3.17之前版本和4.2.29之前版本存在代码问题漏洞,该漏洞源于缺少IP地址范围限制,可能导致本地网络请求。

英文描述:

Mastodon is a free, open-source social network server based on ActivityPub. By nature, Mastodon performs a lot of outbound requests to user-provided domains. Mastodon, however, has some protection mechanism to disallow requests to local IP addresses (unless specified in `ALLOWED_PRIVATE_ADDRESSES`) to avoid the "confused deputy" problem. The list of disallowed IP address ranges was lacking some IP address ranges that can be used to reach local IP addresses. An attacker can use an IP address in the affected ranges to make Mastodon perform HTTP requests against loopback or local network hosts, potentially allowing access to otherwise private resources and services. This is fixed in Mastodon v4.5.4, v4.4.11, v4.3.17 and v4.2.29.

CWE类型:
CWE-918
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
mastodon mastodon < 4.2.29 - - cpe:2.3:a:mastodon:mastodon:<_4.2.29:*:*:*:*:*:*:*
mastodon mastodon >= 4.3.0-beta.1, < 4.3.17 - - cpe:2.3:a:mastodon:mastodon:>=_4.3.0-beta.1,_<_4.3.17:*:*:*:*:*:*:*
mastodon mastodon >= 4.4.0-beta.1, < 4.4.11 - - cpe:2.3:a:mastodon:mastodon:>=_4.4.0-beta.1,_<_4.4.11:*:*:*:*:*:*:*
mastodon mastodon >= 4.5.0-beta.1, < 4.5.4 - - cpe:2.3:a:mastodon:mastodon:>=_4.5.0-beta.1,_<_4.5.4:*:*:*:*:*:*:*
joinmastodon mastodon * - - cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
https://github.com/mastodon/mastodon/security/advisories/GHSA-xfrj-c749-jxxq x_refsource_CONFIRM
cve.org
访问
https://github.com/mastodon/mastodon/commit/0f4e8a6240b5af1f2c3f34d2793d8610c6ef2aca x_refsource_MISC
cve.org
访问
https://github.com/mastodon/mastodon/commit/17022907866710a72a1b1fc0a5ce9538bad1b4c3 x_refsource_MISC
cve.org
访问
https://github.com/mastodon/mastodon/commit/71ae4cf2cf5138ccdda64b1b1d665849b688686d x_refsource_MISC
cve.org
访问
CVSS评分详情
4.0 (cna)
HIGH
7.1
CVSS向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
机密性
NONE
完整性
HIGH
可用性
NONE
后续系统影响 (Subsequent):
机密性
NONE
完整性
NONE
可用性
NONE
时间信息
发布时间:
2026-01-08 15:23:13
修改时间:
2026-01-08 15:54:30
创建时间:
2026-01-12 02:12:38
更新时间:
2026-01-16 02:48:20
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2026-22245 2026-01-09 02:02:08 2026-01-12 02:12:38
NVD nvd_CVE-2026-22245 2026-01-09 03:00:10 2026-01-12 02:28:17
CNNVD cnnvd_CNNVD-202601-1447 2026-01-11 06:15:11 2026-01-12 02:38:14
版本与语言
当前版本: v4
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v4 NVD
2026-01-16 02:48:09
affected_products_count: 4 → 5
查看详细变更
  • affected_products_count: 4 -> 5
v3 CNNVD
2026-01-12 02:38:14
vulnerability_type: 未提取 → 代码问题; cnnvd_id: 未提取 → CNNVD-202601-1447; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 代码问题
  • cnnvd_id: 未提取 -> CNNVD-202601-1447
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2026-01-12 02:28:17
data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • data_sources: ['cve'] -> ['cve', 'nvd']