发布日期：2026-02-04
更新日期：2026-04-13

受影响系统：

Mastodon Mastodon < 4.5.6
Mastodon Mastodon < 4.4.13
Mastodon Mastodon < 4.3.19

描述：

---

CVE(CAN) ID: CVE-2026-25540

Mastodon是一个基于ActivityPub的免费开源社交网络服务器。
Mastodon 4.3.19之前版本、4.4.13之前版本和4.5.6之前版本存在访问控制错误漏洞，该漏洞源于启用AUTHORIZED_FETCH时，将依赖于请求签名账户的ActivityPub端点响应存储到内部缓存中，但未根据签名者身份对缓存进行区分，导致不同账户的响应被错误复用,攻击者可利用该漏洞操纵缓存状态，使被屏蔽用户产生的空响应返回给合法用户，或将本应返回给合法用户的内容泄露给被屏蔽用户。

<*链接：https://github.com/mastodon/mastodon/security/advisories/GHSA-ccpr-m53r-mfwr
*>

建议：

---

厂商补丁：

Mastodon
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/mastodon/mastodon/security/advisories/GHSA-ccpr-m53r-mfwr

浏览次数：17
严重程度：0（网友投票）