Mastodon 漏洞可导致攻击者接管任意账号

自马斯克收购推特后，Mastodon 变得流行起来，目前号称拥有近1200万名用户，遍布1.1万个实例。Mastodon 上的实例（服务器）具有自主性但是通过名为 “federation” 的系统联网社区，拥有自己的指南和策略，由提供该基础设施并以服务器管理员的身份行动的所有人控制。

该漏洞的编号是CVE-2024-23832，是由在 Mastodon 中的来源验证不充分造成的，可导致攻击者模拟用户并接管其账号。该漏洞的CVSS v3.1评分为9.4，影响3.5.17、4.0.13、4.1.13和4.2.5之前的所有 Mastodon 版本。该漏洞已在昨天发布的 4.2.5 版本中修复。建议所有 Mastodon 服务器管理员尽快更新至最新版本。

Mastodon 并未发布漏洞详情以免遭利用，不过承诺将在2月15日披露更多细节。Mastodon 用户无法采取任何措施解决该安全风险，不过应确保实例的管理员已在2月中旬更新至安全版本；否则他们的账号将易遭劫持。好在 Mastodon 选择通过醒目的提示对服务器管理员提出告警，因此已被活跃维护的所有实例应当可以看到该更新并在接下来的几天内更新至安全版本。

Mastodon 账号遭模拟和接管可造成重大风险，影响个人用户、社区和平台的完整性，因此CVE-2024-23832是一个严重漏洞。

2023年7月，Mastodon 团队修复了另外一个严重漏洞CVE-2023-36460并将其命名为 “TootRoot”，它可导致攻击者发送 “toots（类似于推文）”，在目标实例上创建 web shell。攻击者可利用该漏洞完全攻陷 Mastodon 服务器，从而访问用户敏感信息、通信以及植入后门。