CVE-2025-54879

Mastodon is a free, open-source social network server based on ActivityPub Mastodon which facilitates LDAP configuration for authentication. In versions 3.1.5 through 4.2.24, 4.3.0 through 4.3.11 and 4.4.0 through 4.4.3, Mastodon's rate-limiting system has a critical configuration error where the email-based throttle for confirmation emails incorrectly checks the password reset path instead of the confirmation path, effectively disabling per-email limits for confirmation requests. This allows attackers to bypass rate limits by rotating IP addresses and send unlimited confirmation emails to any email address, as only a weak IP-based throttle (25 requests per 5 minutes) remains active. The vulnerability enables denial-of-service attacks that can overwhelm mail queues and facilitate user harassment through confirmation email spam. This is fixed in versions 4.2.24, 4.3.11 and 4.4.3.

CVSS v3 5.3 MEDIUM

5.3^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact LOW

Scope UNCHANGED

References

Link	Resource
https://github.com/mastodon/mastodon/commit/e2592419d93fb41be03c2f3ff6a122fecb0e0952
https://github.com/mastodon/mastodon/releases/tag/v4.4.3
https://github.com/mastodon/mastodon/security/advisories/GHSA-84ch-6436-c7mg
https://github.com/mastodon/mastodon/security/advisories/GHSA-84ch-6436-c7mg

Configurations

No configuration.

History

06 Aug 2025, 21:15

Type	Values Removed	Values Added
References	~~() https://github.com/mastodon/mastodon/security/advisories/GHSA-84ch-6436-c7mg -~~	() https://github.com/mastodon/mastodon/security/advisories/GHSA-84ch-6436-c7mg -

06 Aug 2025, 20:23

Type	Values Removed	Values Added
Summary		(es) Mastodon es un servidor de red social gratuito y de código abierto basado en ActivityPub Mastodon, que facilita la configuración LDAP para la autenticación. En las versiones 3.1.5 a 4.2.24, 4.3.0 a 4.3.11 y 4.4.0 a 4.4.3, el sistema de limitación de velocidad de Mastodon presenta un error crítico de configuración: la limitación basada en correo electrónico para los correos de confirmación verifica incorrectamente la ruta de restablecimiento de contraseña en lugar de la de confirmación, lo que desactiva los límites por correo electrónico para las solicitudes de confirmación. Esto permite a los atacantes eludir las limitaciones de velocidad rotando las direcciones IP y enviar correos de confirmación ilimitados a cualquier dirección, ya que solo permanece activa una limitación débil basada en IP (25 solicitudes cada 5 minutos). Esta vulnerabilidad permite ataques de denegación de servicio que pueden saturar las colas de correo y facilitar el acoso a los usuarios mediante correos de confirmación no deseados. Esto se ha corregido en las versiones 4.2.24, 4.3.11 y 4.4.3.

06 Aug 2025, 00:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-08-06 00:15

Updated : 2025-08-06 21:15

NVD link : CVE-2025-54879

Mitre link : CVE-2025-54879

CVE.ORG link : CVE-2025-54879

JSON object : View

Products Affected

No product.

CWE

CWE-770

Allocation of Resources Without Limits or Throttling

5.3 /10