漏洞概述
Mastodon 是一个基于 ActivityPub 协议的免费开源社交网络服务器。该平台允许管理员暂停远程用户以阻止其与本地实例交互。然而,由于逻辑错误,已暂停用户的旧帖子在被转发(boosted)时仍可能出现在时间线上;在特定条件下,甚至新帖子也可能被处理并显示。此问题影响所有 Mastodon 版本,而在 v4.5.0 至 v4.5.4、v4.4.5 至 v4.4.11、v4.3.13 至 v4.3.17 和 v4.2.26 至 v4.2.29 版本中,远程被暂停用户可部分绕过限制发布新内容。官方已在 v4.5.5、v4.4.12 和 v4.3.18 版本中修复该漏洞。
漏洞详情
- CVE 编号:CVE-2026-23961
- 漏洞类型:权限控制不恰当(CWE-863)
- CVSS 评分:5.3(中危)
- 影响版本:Mastodon 所有版本均受影响;其中 v4.5.0–v4.5.4、v4.4.5–v4.4.11、v4.3.13–v4.3.17、v4.2.26–v4.2.29 存在更严重的远程绕过风险
影响范围
所有使用 Mastodon 的实例,尤其是运行 v4.2.26 至 v4.5.4 之间版本的服务器将面临被暂停远程用户部分绕过限制的风险。
风险分析
攻击者可利用该漏洞使已被暂停的远程账户内容继续出现在时间线中,破坏管理员设定的内容隔离策略。在受影响版本中,攻击者甚至能发布新内容并被目标实例处理,从而实现对平台内容完整性的干扰。虽然不涉及数据泄露或远程代码执行,但会削弱平台的信任机制和内容审核能力。
修复建议
- 立即升级至 Mastodon 安全版本:v4.5.5、v4.4.12 或 v4.3.18。
- 若暂时无法升级,建议加强监控被暂停用户的活动日志,并手动清理异常出现的帖子。
