发布日期：2023-04-04
更新日期：2023-04-17

受影响系统：

Mastodon Mastodon >= 2.5.0
Mastodon Mastodon < 4.1.2
Mastodon Mastodon < 4.0.4
Mastodon Mastodon < 3.5.8

描述：

---

CVE(CAN) ID: CVE-2023-28853

Mastodon是一款基于ActivityPub的开源社交网络服务器。
Mastodon 2.5.0及之后版本、3.5.8、4.0.4和4.1.2之前版本存在LDAP注入漏洞，该漏洞源于在登录时的LDAP查询不安全，攻击者可利用该漏洞通过LDAP注入攻击来泄露LDAP数据库的任意属性。

<*来源：Gargron
  
  链接：https://github.com/mastodon/mastodon/security/advisories/GHSA-38g9-pfm9-gfqv
*>

建议：

---

厂商补丁：

Mastodon
--------
Mastodon已经为此发布了一个安全公告（CVE-2023-28853）以及相应补丁:
CVE-2023-28853：Blind LDAP injection in login allows the attacker to leak arbitrary attributes from LDAP database
链接：https://github.com/mastodon/mastodon/security/advisories/GHSA-38g9-pfm9-gfqv

浏览次数：446
严重程度：0（网友投票）